<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Jul 6, 2015 at 10:26 AM, Jack Lloyd <span dir="ltr"><<a href="mailto:lloyd@randombit.net" target="_blank">lloyd@randombit.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Serpent uses sboxes, but ones intentionally designed to be implemented<br>
using bitslicing rather than table lookups. I'm not aware of any<br>
non-toy Serpent implementation that actually does 4->4 bit lookups,<br>
rather than evaluating all 16 lookups in parallel using bitwise operations<br>
whose sequence does not depend on any secret data. Do you?</blockquote><div><br></div><div>I'm not aware of any, and yes, Serpent does make bitslicing easier to implement than AES. Of course any purely software implementations of AES attempting to achieve secret independent timings are likely to be using bitslicing techniques too.</div><div><br></div><div>That said, it's still entirely possible to produce naive implementations, and if they don't exist for Serpent (hard to prove a negative), that's likely because nobody cared enough to write a crappy version.</div></div><div><br></div><div>I would guess that spending not too much time Googling would turn one up, but I have better things to do with my time.</div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>