使用帶有 ARX 原語（例如 chacha20）的雙工模式建構 AEAD 的好處/限制是什麼？

我了解WAGE密碼使用雙工/海綿模式和基於流的密碼進行身份驗證加密與關聯數據 (AEAD)，NORX使用雙工/海綿模式和 LRX 結構，所以，是否可以使用雙工/海綿模式和 ARX 設計 AEAD 密碼結構（Chacha20）？有什麼優點/缺點？

我在 NIST 輕量級候選人中找不到範例

有可能的！

SPARKLE 套件是 NIST 候選的第 2 輪系列，它使用基於 ARX 的排列來建構基於海綿的雜湊函式（稱為 ESCH）和基於雙工的 AEAD（稱為 Schwaemm）：請參閱他們的網站和 NIST 候選列表。

ARX 的一些優點是更小的程式碼大小和它允許的速度。缺點是更難掩蔽（一種防止側通道攻擊的實現技術）。

Chacha ARX 置換可用於此目的，但您可能希望引入輪常數。

優勢可能包括 Chacha 享有的良好軟體性能。

缺點是不得不改變原始狀態，然後懷疑你是否在某個地方搞砸了。

您可能想查看 BLAKE 雜湊函式，它使用修改後的 Chacha 排列。

引用自：https://crypto.stackexchange.com/questions/74330