<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sat, Jul 4, 2015 at 10:34 PM, Ryan Carboni <span dir="ltr"><<a href="mailto:ryacko@gmail.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=ryacko@gmail.com&cc=&bcc=&su=&body=','_blank');return false;">ryacko@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra">Except there's one problem with that assertion... Rijndael is easily broken by.... cache timing, differential power, and many other attacks. The knowledge that those attacks could be used certainly was known during the AES competition. [relevant page from Serpent submission attached, will show up in the Metzdowd archives]</div></div></blockquote><div><br></div><div>Cache timing and DPA can be applied to any implementation of any cipher, period.</div><div><br></div><div>Serpent in particular uses S-boxes just like AES (or for that matter, Lucifer/DES), which makes it just as difficult to implement in software with secret independent timing (note: you brought up cache timing, so please don't deflect this argument by changing the subject to hardware)</div><div><br></div><div>The real solution to cache timing attacks is to eliminate those secret-dependent table lookups entirely, as seen in e.g. Salsa20 / ChaCha20.</div><div><br></div><div>You might want to take off those rose colored glasses and start paying attention to modern cryptography. Things have moved on quite a bit since the 90s.</div><div><br></div></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>