<div dir="ltr"><div><div>>
If you go further and look at a tweakable block cipher, you get even 
better stuff. I'm one of the co-authors of Threefish, and let's look at 
that for a moment. It has a large block size -- 512 or 1024 bits (I'm 
ignoring the 256 bit one) -- and runs at twice the speed of AES 
*because* it has a larger block size. In fact, the 1024 bit variant runs
 slower on an Intel processor than 512 only because the processor 
doesn't have enough registers to hold the state -- and even then, it's 
only like 10% slower.<br><br></div>XXTEA is the fastest of all (and to my knowledge, differential cryptanalysis has yet to be applied to partial blocks, thus it would be secure in a non-naive implementation (it is still secure for many other uses as well) ). But it was designed during an era when cryptography was immature and many did not like block ciphers that were overly simple, such a stigma continued to this day sadly.<br>"I have never been a TEA fan, although 64 rounds can cure a lot of sins.'' - Bruce Schneier<br><br></div><div>Naturally Threefish uses more rounds.<br></div><div><br></div>It would be trivial to manufacture an authenticated encryption construct out of XXTEA, just reserve the first four 32-bit words as the authentication key (same amount of data as HMAC-MD5, without the computational overhead), if the first four words don't match, the message would be rejected. Including a nonce would secure it for a larger number of messages.<br></div>