不需要硬件支持(如ChaCha20)的快速加密磁盘加密

Question

在我的旧笔记本电脑上，ChaCha20比AES快很多，因为AES没有硬件加速。但是对于磁盘加密，基于AES的方案似乎是唯一的选择，因为像ChaCha20这样的流密码不能直接用于磁盘加密。是否有可能以其他方式/模式使用ChaCha20，使其适合磁盘加密？或者有什么好的分组密码(可能是ARX密码？)它的速度和ChaCha20一样快，没有硬件支持，可以用来加速磁盘加密吗？

Answer 1

@TaylorRCampbell你的回答太不可思议了！它不仅回答了这个问题，而且在我的Linux笔记本电脑上已经可以使用了，我甚至不需要安装任何东西。有人只需告诉我(因为cryptsetup benchmark默认不会显示所有有用的密码)。而铁线蕨比AES-XTS更安全，因为一个密文位翻转会使整个磁盘扇区随机化。

在我的旧核心i3 CPU @ 2.53GHz上，我使用了for ci in xchacha12,aes-adiantum-plain64 xchacha20,aes-adiantum-plain64 aes-xts-plain64; cryptsetup benchmark -c $ci; end (为可读性而编辑的输出)基准测试。

# Tests are approximate using memory only (no storage IO).
#            Algorithm |       Key |      Encryption |      Decryption
xchacha12,aes-adiantum        256b       532,5 MiB/s       538,9 MiB/s
xchacha20,aes-adiantum        256b       441,2 MiB/s       447,0 MiB/s
               aes-xts        256b       124,7 MiB/s       125,2 MiB/s

关于我的更现代的核心i7 @ 2.70 GHz：(多次运行的最高数字)

# Tests are approximate using memory only (no storage IO).
#            Algorithm |       Key |      Encryption |      Decryption
xchacha12,aes-adiantum        256b      1066,9 MiB/s      1107,6 MiB/s
xchacha20,aes-adiantum        256b       935,8 MiB/s       951,5 MiB/s
               aes-xts        256b      2189,9 MiB/s      2213,3 MiB/s

(对于任何考虑在磁盘加密中使用铁线蕨的人来说，xchacha20变体对chacha密码使用更多的圆圈，因此具有更多的安全裕度。除非您绝对不能容忍它在xchacha12变体上的性能，例如在智能手表上，否则建议使用它。目前两者都是安全的，但是密码分析方面的新发现可能会在更早的时候破坏xchacha12。

现在，为了更好的安全性，我还想在我的较新计算机上使用ChaCha而不是带AES的铁线蕨。我想我需要在unix.stackexchange上询问这个问题，因为aes-ctr,aes-adiantum-plain64或类似的东西似乎还不存在于内核中。