<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Jul 4, 2015 at 9:01 PM, Jerry Leichter <span dir="ltr"><<a href="mailto:leichter@lrw.com" target="_blank">leichter@lrw.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">On Jul 4, 2015, at 4:23 PM, Ryan Carboni <<a href="mailto:ryacko@gmail.com" target="_blank">ryacko@gmail.com</a>> wrote:<div><blockquote type="cite"><div dir="ltr">The best AES candidate,</div></blockquote>Clearly many of the best cryptographers out there disagreed with you, as it didn't make it to the final round - and there's been general agreement that the AES selection process was of extremely high quality.</div><div><br></div></div></blockquote></div><br></div><div class="gmail_extra">Except there's one problem with that assertion... Rijndael is easily broken by.... cache timing, differential power, and many other attacks. The knowledge that those attacks could be used certainly was known during the AES competition. [relevant page from Serpent submission attached, will show up in the Metzdowd archives]</div><div class="gmail_extra"><br></div><div class="gmail_extra">Serpent was designed to be fast in hardware implementations... according to the NSA's estimates for the NIST competition, 60% faster than Rijndael, with a latency only twice as much.</div><div class="gmail_extra"><br></div><div class="gmail_extra">But Serpent was not chosen. Serpent's designers did have slides during an AES conference showing that standards are often used for decades... even a century. [can't recall where those slides are]</div><div class="gmail_extra"><br></div><div class="gmail_extra">I do not know what historians will think about modern cryptography, but I'm guessing you could figure out what I think.</div><div class="gmail_extra"><br></div><div class="gmail_extra">While Serpent was slower than Rijndael, there apparently were discussions during the AES competition about requesting clarification as to the security/performance tradeoffs for something more concrete than "more secure and faster than TripleDES". [cannot remember where those documents were] It's possible that the questions used for polling for the best cipher for AES were loaded questions. The simplest modification to the ciphers would be to ask the designers to increase or decrease the number of rounds.</div></div>