Chacha

為什麼 AES 256 GCM 比快速高效的 ChaCha20 - Poly1305 更受電子郵件服務提供商/銀行的青睞?

  • February 17, 2020

這個問題是基於我最近觀察到某些電子郵件服務提供商和銀行使用 AES 相關的對稱密碼而不是更快的 ChaCha20 Poly1305 的偏好。例如,Google的 Gmail 瀏覽器版本使用 AES 128 GCM,但Google的搜尋使用 ChaCha20 Poly1305?

AES 128/256 GCM 是否 比 ChaCha20 Poly1305更安全?

儘管 ChaCha20-Poly1305 對移動設備使用處理器友好的指令,並且易於在軟體中實現,但為什麼銀行或金融機構不願意採用它?

是因為處理器上的特定 AES 指令(就伺服器/PC/筆記型電腦而言)還是因為它們堅持舊約定?

AES-GCM 由美國國家標準與技術研究院標準化,該機構為美國聯邦機構制定標準。

在某些情況下(想想銀行、政府、大公司)需要 FIPS 認證,為了通過 FIPS 認證,您需要使用經過批准的算法。當您檢查FIPS 140-2 Annex A時,您會看到 AES-GCM 是批准的“安全功能”之一。ChaCha20 Poly1305 不是。

另一個原因是 ChaCha20/Poly1305 是一個相對較新的設計。AFAIK,它已在 2015 年RFC7539中被接受為 IETF 標準,而 AES-GCM 是自 2007 年以來的標準(NIST SP800-38D)。

此外,AES 自 2000 年以來一直存在,這意味著有很多 IP 設計具有專用的 AES 加速器,這使得 AES-GCM 非常高效。

在安全性方面,AES 是一種非常可靠的密碼,我可能更喜歡它而不是 Chacha20,但另一方面 GCM 模式非常脆弱並且容易出現實現錯誤(想想IV 濫用),並且在某些情況下它可能被認為不太理想實施相關的場景。

引用自:https://crypto.stackexchange.com/questions/77671