为什么人们应该更喜欢Salsa20而不是ChaCha？

Question

我们都知道谷歌引入ChaCha/Poly1305作为TLS密码套件的方法。理由似乎很清楚: ChaCha更新了，似乎提供了更好的安全性(也许还能提供更快的安全性？)总结了Salsa20的设计经验。

但在他的“最近”论文McBits:基于快速恒时码的密码学 (基本上是基于代码的ECIES)伯恩斯坦( Salsa20和ChaCha的发明者)中，周和施瓦贝使用Salsa20作为McBits的标准原语，而不是ChaCha。

那么，

为什么更喜欢Salsa20而不是ChaCha呢？

Answer 1

我同意保守主义是McBits做出选择的可能原因。

ChaCha是在eSTREAM还在运行时发布的。Salsa20 20/12现在是eSTREAM的最终投资组合。即使在构建一个更大的现在的XSalsa纸中，伯恩斯坦也没有提到ChaCha。

那么，为什么更喜欢Salsa20而不是ChaCha呢？

想要使用标准化算法是一个原因之一。选择研究得更详尽的算法是另一个好的方法。

如果你戴上锡箔帽，你也可能更喜欢在没有真正的休息的情况下避免任何调整。毕竟，修改密码将是一个引入新后门的机会。

Answer 2

Salsa20看到了大量的密码分析。如果我没记错的话，Chacha20在进入TLS之前只进行了两篇论文的分析。有些人可能认为这是有点草率，即使是考虑到它的传统。如果DJB (DanielJ.Bernstein)仅仅是保守的话，我就不会感到惊讶了。