使用ARX原语(例如chacha20)使用双工模式构造AEAD的好处/限制是什么？

Question

据我所知，工资密码使用双工/海绵模式和基于流的密码进行关联数据认证加密( AEAD )，NORX使用双工/海绵模式和LRX结构，那么，是否有可能使用双工/海绵模式和ARX结构(Chacha20)来设计AEAD密码呢？什么是优点/缺点？

我在NIST轻量级考生中找不到一个例子。

Answer 1

这是可能的！

闪亮套件是NIST候选人的第2轮家族，它使用基于ARX的排列来构建基于海绵的散列函数(称为ESCH)和基于双工的AEAD (称为Schwaemm)：见他们的网站和NIST的候选列表。

ARX的一些优点是代码大小和允许的速度更小。缺点是更难掩蔽(一种防止侧通道攻击的实现技术)。

Answer 2

Chacha置换可以用于这一目的，尽管您可能希望引入圆形常量。

优点可能包括良好的软件性能Chacha享受。

缺点将是必须改变原始，然后想知道你是否搞砸了什么地方。

您可能需要查看BLAKE哈希函数，它使用了一个修改的Chacha置换。