NIST LWC 決賽選手 (AEAD) 與 ChaCha20-Poly1305
NIST LWC 決賽入圍名單公佈。我的問題是,決賽選手如何比目前的黃金輕量級 AEAD 標準——ChaCha20-Poly1305 更快或更慢。
chacha20-poly1305 與 LWC 決賽選手之間的一些基準?
至於每一個基準,它都取決於計算平台。
正如評論中提到的,您將在bench.cr.yp.to找到基準,其中包括 NIST LWC 決賽選手和 ChaCha-20。然而,為這些基准考慮的大多數架構都是相當高端的計算平台,它們不一定反映輕量級密碼學充分發揮其意義的受限設備的情況。
如果您最感興趣的是 NIST LWC 決賽入圍者與 ChaCha20-Poly1305 的比較,您應該看看Rhys Weatherley 的基準測試,它專注於嵌入式設備(8 位 AVR、ARM Cortex-M3 和 ESP32 Arduino)。如32 位平台網頁上的性能所述,所有基準測試結果均與 ChaCha20-Poly1305 進行比較報告:
我在這裡採用的方法是“ChaChaPoly 單位”。該庫包含來自我的 Arduino 密碼庫的 ChaChaPoly AEAD 方案的合理高效的 32 位非矢量化實現。這使其成為與其他算法並排比較的已知數量。
如果一個算法在特定的嵌入式微處理器上以特定的時鐘速度測量為 0.8 ChaChaPoly 單位,那麼這意味著它在該微處理器上比 ChaChaPoly 慢 0.8 倍。如果該算法以 2 個 ChaChaPoly 單位進行測量,那麼它在同一微處理器上的速度是 ChaChaPoly 的兩倍。單元數越多,算法越好。
如您所見,許多 NIST LWC 決賽選手在此類平台上表現出比 ChaCha20-Poly 更好的性能。請注意,所考慮的所有實現都以恆定時間執行,以確保公平比較。
NIST LWC 最後一輪重要的另一點是抵抗側通道攻擊。由於 ChaCha20 是基於 ARX 的設計,因此它不便於集成針對功率側通道攻擊(如掩蔽)的對策,如以前的工作中所強調的(例如在$$ 1 $$和$$ 2 $$)。在考慮電源側通道時,NIST LWC 決賽選手提供的優於 ChaCha20-Poly1305 的好處可能會更令人感興趣。