为什么基于AES的Poly1305比AES更快？

Question

BearSSL网页具有以下性能编号：

• Poly1305 1730.92 MB/s，amd64，ctmulq
• AES-128 CTR 92.38MB/S，amd64，ct64

在计数器模式下，恒时Poly1305似乎比AES-128快一个数量级以上，在这两种模式中都没有任何特殊的CPU指令支持。

然而，我的理解是，Poly1305是基于AES (来源)的。为什么基于AES的东西能比AES快得多呢？

Answer 1

Poly1305不是基于AES，而是与伯恩斯坦的第一个描述http://cr.yp.to/mac/poly1305-20050329.pdf中的AES一起使用的。有关Poly1305算法的伪码，请参见例如https://www.rfc-editor.org/rfc/rfc7539#section-2.5.1。

GHASH是AES/GCM中的哈希函数。

因此，如果Poly1305在某些硬件上比GHASH快，这是没有矛盾的。请注意，链接站点上的peek值是可比的: Poly1305 1730.92MB/s，GHASH 1740.96 MB/s。