<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Feb 13, 2018 at 11:44 PM, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">That wouldn't work for things like SIV, where the ciphertext starts<br>
with a "synthetic nonce", instead of ending with an authentication<br>
tag.  But I'm not sure this synthetic nonce necessarily fulfills the<br>
indistinguishability requirement I described, either.<br>
<br>
Maybe we could draw a sharper distinction between "authentication tag"<br>
AEADs and "SIV-like" (or "other")?</blockquote><div><br></div><div>I've been wondering if it was somewhat of a mistake (in e.g. RFC 5297) for SIV tags to be placed at the beginning of messages instead of the end. There's no particularly good reason why they should be at the beginning and it makes the schemes that much more awkward to use, especially for things like in-place APIs where now you have to leave room at the beginning of a buffer for the tag instead of at the end.</div><div><br></div><div>Something I've considered adding to Miscreant are APIs which make it easy to work with the plaintext/ciphertext and tag as separate buffers/parameters, so people who wanted to reverse the order (to make it easier to have compatibility with AEADs which place the tag at the end) can easily do so.</div></div><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Tony Arcieri<br></div>
</div></div>