<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Jul 5, 2015 at 10:47 AM, Tony Arcieri <span dir="ltr"><<a href="mailto:bascule@gmail.com" target="_blank">bascule@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class="">On Sat, Jul 4, 2015 at 10:34 PM, Ryan Carboni <span dir="ltr"><<a href="mailto:ryacko@gmail.com" target="_blank">ryacko@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra">Except there's one problem with that assertion... Rijndael is easily broken by.... cache timing, differential power, and many other attacks. The knowledge that those attacks could be used certainly was known during the AES competition. [relevant page from Serpent submission attached, will show up in the Metzdowd archives]</div></div></blockquote><div><br></div></span><div>Cache timing and DPA can be applied to any implementation of any cipher, period.</div><div><br></div><div>Serpent in particular uses S-boxes just like AES (or for that matter, Lucifer/DES), which makes it just as difficult to implement in software with secret independent timing (note: you brought up cache timing, so please don't deflect this argument by changing the subject to hardware)</div><div><br></div><div>The real solution to cache timing attacks is to eliminate those secret-dependent table lookups entirely, as seen in e.g. Salsa20 / ChaCha20.</div><div><br></div><div>You might want to take off those rose colored glasses and start paying attention to modern cryptography. Things have moved on quite a bit since the 90s.</div><span class=""><font color="#888888"><div><br></div></font></span></div><span class=""><font color="#888888">-- <br><div>Tony Arcieri<br></div>
</font></span></div></div>
</blockquote></div><br><br></div><div class="gmail_extra">Yes, things have moved on since.... what was the release date of IDEA? 1991? Yes, things have moved on since 1991, ciphers have gotten more advanced with the addition of S-boxes.  No wait, S-boxes in electronic ciphers were first pioneered in 1977 with DES. But then most of the ciphers in the AES competition used s-boxes. I don't know if we are moving forwards or backwards anymore!<br><br></div><div class="gmail_extra">Actually the AES S-boxes are secure. As long you don't combine the steps to create a 256*32 S-box. Modular addition has an issue though, high latency given that it is a serialized operation. S-boxes are more easily parallelized. <br><br></div><div class="gmail_extra">But I'm just repeating things I've read. What are PhDs supposed to be anyway, contributors to their field of study?<br></div></div>