凯撒决赛:轻型案件(Ascon对ACORN)

Question

在轻量级情况下，Ascon密码被选为第一选择，ACORN被选为第二选择。然而，根据凯撒轻量级决赛选手之间的对决:橡树对阿斯康的报道，面对挑战的赢家是ACORN。

他们提到

1. Aco-1和Ascon的面积分别为18%和74%，面积为AES-GCM.
2. 橡子- 32和Ascon-大分别比AES-GCM快23.3倍和2.5倍.
3. 橡子-1，是最有效的侧通道抵抗凯撒轻量级决赛，在低面积，权力，和外部随机性。

问题: Ascon相对于ACORN的优势是什么？

Answer 1

Ascon和ACORN都有有趣的特性。让我们讨论一下在凯撒轻量级AEADs竞赛中所陈述的一些特性的利弊：

1. 适用于8位CPUs的小硬件区域和/或小代码。

在这一点上，ACORN的效率更高，因为它的内部状态小于Ascon使用的状态(293比320位)。此外，由于其非常紧凑的核心功能，ACORN的代码大小更小。

1. 抵御侧通道攻击的自然能力

在对抗侧信道攻击方面，这两种算法都是有效的.Ascon的设计考虑了切分，因此可以很容易地以固定的时间方式实现。通过设计，橡子也是固定的时间，因为它不依赖于任何有条件的分支或查找表。对于功率/电磁侧信道的对抗，两种算法只需三种共享即可达到一阶门限实现。然而，ACORN在硬件上似乎更有效率，正如您提到的文件中所述。

1. 消息大小:通常短(可以小于16字节)，有时更长

这可能是Ascon相对于ACORN的主要优势:它对短消息更有效。这主要是因为ACORN是一个流密码，它需要大量的步骤来初始化它的内部状态。例如，本论文报告(第11页)指出，在ARM Cortex-M3上，Ascon的性能优于ACORN (在ARM Cortex-M3上的小消息(小于128个字节和16个字节的额外数据)。Ascon在64位CPU上也非常有效，顾名思义，它的内部状态由5个64位字组成。对于高端服务器必须处理大量加密请求的用例来说，这是一个有趣的特性。

最后，Ascon基于双工海绵模式，其安全性在多篇论文(如https://keccak.team/files/SpongeDuplex.pdf和https://eprint.iacr.org/2015/541.pdf)中进行了分析，而ACORN则基于一种新的流密码结构。这可能影响了最后的决定。