On Mon, Sep 24, 2012 at 1:35 PM, David-Sarah Hopwood <span dir="ltr"><<a href="mailto:david-sarah@jacaranda.org" target="_blank">david-sarah@jacaranda.org</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im">Integrity checking using a hash of the ciphertext relies on the decryption being</div>
correct.</blockquote><div><br></div><div>I'm a bit confused by this: if the decryption is incorrect, hasn't integrity been violated?</div><div><br></div><div>Is the goal to detect a bad decrypt (due to software bugs) versus transmission/storage error? If so, seems good to me.</div>

</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">The current Tahoe design allows random keys. It doesn't require any extra field in the<br>

</span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">capability. There's just no UI to enable it at the moment.</span></blockquote><div><br></div><div>

Would you use an authenticated encryption mode in this case? I am relying on HKDF(plaintext, IV || empty string) as my "MAC" to determine the authenticity of content.</div><div><br></div>-- <br>Tony Arcieri<br>
<br>