<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Jul 17, 2016 at 1:56 PM, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><div><br></div><div> * For schemes like NTRU Prime where we can encrypt to a static public key, we could double "dhes" so that it calls MixKey() on the DH output, then sends an NTRU Prime #2 message and calls MixKey() on the NTRU Prime output.  Instead of XX, we'd use a pattern like this:</div><span class=""><div><br></div><div>    -> e</div><div>    <- e, dhee, s</div></span><div>    -> s, dhes</div><div>    <- dhes</div><div><br></div><div>Note that this pattern is worse than XX, since XX can authenticate "faster":</div><span class=""><div><br></div><div>    -> e</div><div>    <- e, dhee, s, dhse</div></span><div>    -> d, dhse</div></div></div></div></div></blockquote><div><br></div><div>Sorry, typo: "s, dhse" in last line</div><div><br></div><div>Trevor</div><div> </div></div></div></div>