<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Aug 27, 2014 at 6:12 PM, Jonathan Moore <span dir="ltr"><<a href="mailto:moore@eds.org" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=moore@eds.org&cc=&bcc=&su=&body=','_blank');return false;">moore@eds.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>Sure, but counters and clocks are different things, and there are interesting environments with out storage at all. I understand that I am not discussing ideas that might not get used every day but they are not uninteresting which is what it feels like you are trying to argue for.</div>

</div></div></div></blockquote><div><br></div><div>I'm just saying if nonce reuse due to poor RNGs is the only purpose, it seems like overkill.</div><div><br></div><div>If your use case is a content addressable system like Tahoe-LAFS, it's much more interesting. Adding in the convergence secret, as Brian mentioned, mitigates a wide range of attacks on convergent encryption systems. Beyond that, you can simply derive a unique key per message (via, as mentioned, something like HKDF) from the content hash and the convergence secret, at which point (also as Brian mentioned) you eliminate the problem of having to choose a nonce entirely or worry about protocols like SIV, while still providing a content addressable, deterministic encryption scheme.<br>

</div></div><div><br></div>-- <br>Tony Arcieri<br>
</div></div>