CAESAR 決賽入圍者:輕量級案例(Ascon vs ACORN)
在輕量級案例中,Ascon 密碼被選為第一選擇,ACORN 作為第二選擇。然而,根據CAESAR 輕量級決賽選手之間的對峙:ACORN 與 Ascon論文,對峙的獲勝者是 ACORN。
他們提到
- ACORN-1 和 Ascon-small 的面積分別為 AES-GCM 的 18% 和 74%。
- ACORN-32 和 Ascon-large 分別比 AES-GCM 快 23.3 和 2.5 倍。
- ACORN-1,在低面積、功耗和外部隨機性方面,是最有效的抗側通道 CAESAR 輕量級決賽選手
問題:Ascon 相對於 ACORN 的優勢是什麼?
Ascon 和 ACORN 都有有趣的功能。讓我們討論一下它們在 CAESAR 輕量級 AEAD 競賽中陳述的一些特性的優缺點:
- 適合 8 位 CPU 的小硬體區域和/或小程式碼
在這一點上,ACORN 的效率更高,因為它的內部狀態小於 Ascon 使用的狀態(293 位對 320 位)。而且,得益於其非常緊湊的核心功能,ACORN 的程式碼量更小。
- 防禦側通道攻擊的自然能力
關於側通道攻擊的對策,兩種算法都是有效的。Ascon 在設計時考慮了位切片,因此可以以恆定時間的方式輕鬆實現。ACORN 在設計上也是常數時間,因為它不依賴於任何條件分支或查找表。關於針對功率/電磁側通道的對策,兩種算法僅使用三個份額即可達到一階門檻值實現。但是,如您提到的論文中所述,ACORN 在硬體方面似乎更有效。
- 消息大小:通常很短(可以小於 16 字節),有時更長
這可能是 Ascon 相對於 ACORN 的主要優勢:它對短消息更有效。這主要是因為 ACORN 是一種流密碼,需要大量步驟來初始化其內部狀態。例如,本文報導(第 11 頁)Ascon 在 ARM Cortex-M3 上的小消息(小於 128 字節,附加數據 16 字節)的性能優於 ACORN。Ascon 在 64 位 CPU 上也非常高效,因為根據定義,它的內部狀態由五個 64 位字組成。對於高端伺服器必須處理大量加密請求的案例,這是一個有趣的功能。
最後,Ascon 基於雙工海綿模式,其安全性已在多篇論文中進行了分析(例如,https ://keccak.team/files/SpongeDuplex.pdf和https://eprint.iacr.org/2015/541.pdf ) 而 ACORN 基於新的流密碼結構。這可能影響了最終的決定。