<div dir="ltr">yes, but if the NSA starts publishing things, people might realize the NSA exists.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Dec 24, 2014 at 4:48 PM, Matthew Green <span dir="ltr"><<a href="mailto:matthewdgreen@gmail.com" target="_blank">matthewdgreen@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The NIST Key Wrap is unauthored, which in practice means it's an NSA construction. That doesn't mean it's insecure. In fact if anything it's over-engineered.<br>
<br>
It's designed to achieve CCA2 security (or an equivalent deterministic definition) for high-entropy messages. It probably does that, despite the absence of a security proof or any definitions at all. You could probably write a proof if you cared.<br>
<br>
I wouldn't use it on principle. There are more elegant constructions with proper analysis. NIST should stop publishing things just because someone at NSA tells them to.<br>
<br>
Matt<br>
<div class="HOEnZb"><div class="h5"><br>
On Dec 24, 2014, at 7:29 PM, Naveen Nathan <<a href="mailto:naveen@lastninja.net">naveen@lastninja.net</a>> wrote:<br>
<br>
>> As I see it from that paper the advantages of a key-wrap scheme over using a<br>
>> generic AEAD scheme is that<br>
>><br>
>> (a) it may be lighter weight in computation and size of ciphertext<br>
>> (b) Defends against “IV misuse”.<br>
>> (c) RFC 3394 has been around for a while and is widely available<br>
><br>
> The paper in question is available online:<br>
> <a href="https://eprint.iacr.org/2006/221.pdf" target="_blank">https://eprint.iacr.org/2006/221.pdf</a><br>
><br>
> The construct in RFC3394 I believe is the same in Appendix A (from ANSI X9.102 draft standard).<br>
> The stated security goal is IND-CCA2. However if you read further you will come across this little gem:<br>
> "There is no proof of security, and the mechanism is so complex that providing one would be difficult."<br>
><br>
> The suggested mode of operation for keywrap is SIV mode which is both documented in the above paper<br>
> and in RFC5297. It provides deterministic CCA encryption but fails the indinguishabiltiy under<br>
> eavesdropping experiment (any two ciphertexts encrypted under a given key that are equal correspond<br>
> to the same plaintext).<br>
><br>
> Keywrap in SIV mode (without the additional data) is essentially: IV=MAC(k,P), ENC(IV,k,P);<br>
> verification/integrity check is done after decryption by recomputing the MAC and ideally the<br>
> MAC and Encryption keys are distinct.<br>
><br>
> - Naveen<br>
> _______________________________________________<br>
> cryptography mailing list<br>
> <a href="mailto:cryptography@randombit.net">cryptography@randombit.net</a><br>
> <a href="http://lists.randombit.net/mailman/listinfo/cryptography" target="_blank">http://lists.randombit.net/mailman/listinfo/cryptography</a><br>
_______________________________________________<br>
cryptography mailing list<br>
<a href="mailto:cryptography@randombit.net">cryptography@randombit.net</a><br>
<a href="http://lists.randombit.net/mailman/listinfo/cryptography" target="_blank">http://lists.randombit.net/mailman/listinfo/cryptography</a><br>
</div></div></blockquote></div><br></div>