AES-PMAC-SIV声发射算法

Question

AES-SIV是一种非常健壮和安全的算法，但性能并不好。AES-PMAC-SIV，应该提供很大的并行性，提高性能，并确保同样的鲁棒性.可以找到论“恶棍”的GitHub页面和在IETF邮件列表上的迹象。

它与其他认证加密(AE)算法相比如何？它是否具有成为流行算法和克服其他AE算法的技术潜力，也就是说，它在技术上(安全特性/性能)是否优于(许多)？其他目前(有点)广泛使用的声发射方案的方面？

Answer 1

我不认为它会流行起来。由于其确定性加密特性，AES-SIV主要用作密钥包装机制.但是键通常很小；对于最少的数据量，当然不需要并行计算。

关于性能:是的，它可以并行化。但是，在一台现代机器上，您可能需要在使用硬件加速的单线程上，在CTR模式+ AES模式+ CMAC中对AES进行许多增强。英特尔的AES-NI + GCM加速可以在韦斯特米尔芯片的单个核心上获得2 Gbps的吞吐量(请注意，注意)(这是一个老芯片，用于2.4GHz)，这是在一个实际的IPSEC隧道内。您可能希望运行得更快，但您的系统的其他组件可能无法跟上。对于可以有任意数量连接的服务器组件:如果您有一个8核心芯片(和8个连接)，您可以轻松地填充10 Gbps网卡。

AES-PMAC仍然需要单个AES块对每个明文块进行加密。因此，即使它可以并行化，它也会被特殊的MAC结构(如GMAC或Poly1305 )所超越，这些构造不需要对每个明文块进行分组密码调用。您至少需要另一个线程来弥补性能上的差异，而且它们仍然需要管理多线程。

我假定身份验证标记是相对安全的，即使只有前x字节用于身份验证标记。这对于嵌入式平台来说也许不错，但通常不适用于多线程/并行计算。与其他不具有此属性的MAC结构相比，这无疑是一个优势，但与其他MAC结构(如AES-SIV、AES-EAX或AES-CCM )相比，这是一个优势。

它可能会流行的一个很好的原因是，当密码社区决定从经过身份验证的加密转向在很大程度上不受当前重用(现在的误用电阻)影响的加密。

但是请注意，GMAC模式中使用的GMAC实际上也可以并行执行；将这些部件组合在一起需要一些额外的计算来显示这里。因此，GCM也可以并行执行，使用计算成本较低的MAC计算.SIV模式下的GCM避开了mode的问题，这使得它对现在的重用非常敏感。使用分组密码的MAC计算并不是那么有效。