<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Aug 27, 2014 at 5:13 PM, Jonathan Moore <span dir="ltr"><<a href="mailto:moore@eds.org" target="_blank">moore@eds.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>djb has mostly convinced me</div></div></div></div></blockquote><div><br></div><div>You might check out his thoughts in the XSalsa20 paper:</div><div>
<br>
</div><div><a href="http://cr.yp.to/snuffle/xsalsa-20081128.pdf">http://cr.yp.to/snuffle/xsalsa-20081128.pdf</a><br></div><div><br></div><div>"There is also a standard counterargument. Counters might sound simple but</div>

<div>are sometimes mismanaged by applications, destroying security. Rather than</div><div>blaming the application for this failure, we can append random bits to the nonce,</div><div>adding protection that is likely to succeed even if the counter fails." </div>

</div><div><br></div><div>Combining counters and RNG data was one of the reasons he created XSalsa20 in the first place.</div><div><br></div>-- <br>Tony Arcieri<br>
</div></div>