<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Fri, Jul 20, 2018 at 4:11 PM Arvid Picciani <<a href="mailto:aep@exys.org">aep@exys.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">As far as i understand, it is not safe to reuse the same nonce for an<br>
AEAD with different plaintext,<br>
so without having a unique nonce, how do you encrypt the .. nonce?</blockquote></div><div><br></div><div>A SIV mode (e.g. AES-GCM-SIV) which places a unique/random value in the plaintext is the first thing that comes to mind for me.</div><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">Tony Arcieri<br></div></div>