Como los bits nonce se usarían dos veces en ese caso, ¿eso rompe la seguridad de EAX? Los ejemplos que he visto utilizando EAX han separado el nonce de los datos asociados, pero para mí tiene más sentido que el nonce sea parte de él.
El nonce ya está autenticado. No hay absolutamente ninguna razón o necesidad para que hagas esto. Si reduce o no la seguridad, no puedo decir. Sin embargo, ciertamente no mejora la seguridad.
pero para mí tiene más sentido que el usuario sea parte de [los datos asociados]
Como regla general, confiaría en los criptógrafos responsables del diseño de EAX por encima de sus propios sentimientos.
Lea otras preguntas en las etiquetas encryption aes