ChaCha20对定时攻击免疫

Question

ChaCha20对定时攻击免疫的原因是什么？此外，为什么AES不对定时攻击免疫？

Answer 1

实现ChaCha20的显而易见的方法只涉及添加、固定的旋转和XOR。所有这些都是固定的时间，所以实现ChaCha20的最明显的方法就是安全地抵御定时攻击。使ChaCha20变得更快的主要方法-- SIMD --不会改变这一点。

另一方面，实现AES的明显方法是对S框使用表查找.由于缓存的原因，这些不是固定的时间。要避免这种情况，要么需要：

• 天真的方法有着巨大的性能惩罚。
• 一种叫咬切的技术。这使用CTR模式中的无限并行性来模拟硬件AES实现，但是并行地操作许多位。这只适用于CTR模式(因为其他模式没有所需的并行性)，并且不容易实现。