為什麼 AES 256 GCM 比快速高效的 ChaCha20 - Poly1305 更受電子郵件服務提供商/銀行的青睞？

這個問題是基於我最近觀察到某些電子郵件服務提供商和銀行使用 AES 相關的對稱密碼而不是更快的 ChaCha20 Poly1305 的偏好。例如，Google的 Gmail 瀏覽器版本使用 AES 128 GCM，但Google的搜尋使用 ChaCha20 Poly1305？

AES 128/256 GCM 是否 比 ChaCha20 Poly1305更安全？

儘管 ChaCha20-Poly1305 對移動設備使用處理器友好的指令，並且易於在軟體中實現，但為什麼銀行或金融機構不願意採用它？

是因為處理器上的特定 AES 指令（就伺服器/PC/筆記型電腦而言）還是因為它們堅持舊約定？

AES-GCM 由美國國家標準與技術研究院標準化，該機構為美國聯邦機構制定標準。

在某些情況下（想想銀行、政府、大公司）需要 FIPS 認證，為了通過 FIPS 認證，您需要使用經過批准的算法。當您檢查FIPS 140-2 Annex A時，您會看到 AES-GCM 是批准的“安全功能”之一。ChaCha20 Poly1305 不是。

另一個原因是 ChaCha20/Poly1305 是一個相對較新的設計。AFAIK，它已在 2015 年RFC7539中被接受為 IETF 標準，而 AES-GCM 是自 2007 年以來的標準（NIST SP800-38D）。

此外，AES 自 2000 年以來一直存在，這意味著有很多 IP 設計具有專用的 AES 加速器，這使得 AES-GCM 非常高效。

在安全性方面，AES 是一種非常可靠的密碼，我可能更喜歡它而不是 Chacha20，但另一方面 GCM 模式非常脆弱並且容易出現實現錯誤（想想IV 濫用），並且在某些情況下它可能被認為不太理想實施相關的場景。

引用自：https://crypto.stackexchange.com/questions/77671