<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 27, 2014 at 5:27 PM, Brian Warner <span dir="ltr"><<a href="mailto:warner@lothar.com" target="_blank">warner@lothar.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div>On 8/27/14, 5:13 PM, Jonathan Moore wrote:<br>

<br>
> djb has mostly convinced me that it is just not a good idea to use<br>
> clocks as they really have no defined security properties; and drive<br>
> makers have convinced me not to trust storage ;)<br>
<br>
</div>Heh, and everyone else has been busy convincing us to not trust RNGs :).</blockquote><div><br></div><div>I think an interesting thought experiment is how far can we get if we take as givens that storage is unreliable and RNGs only give us small amounts of entropy. I think it might be possible that with we can still do useful things using deterministic approaches and key stretching. ( useful things under specific threat models at least )</div>


<div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div>
> Have you looked at the construction of HS1-SIV which uses the<br>
> authenticator as the IV? ( Someone on #tahoe-lafs pointed me to it )<br>
> It allows two pass authenticated encryption with a SIV.<br>
<br>
</div>No, I haven't. Is there a paper or something I could look at?</blockquote><div><br></div><div><a href="http://competitions.cr.yp.to/round1/hs1siv-nh.pdf" target="_blank">http://competitions.cr.yp.to/round1/hs1siv-nh.pdf</a></div>


<div><br></div><div>-Jonathan </div></div></div></div>