<div dir="ltr">Dear dj,<div><br></div><div>On Fri, Jan 1, 2016 at 11:20 PM,  <span dir="ltr"><<a href="mailto:dj@deadhat.com" target="_blank">dj@deadhat.com</a>></span> wrote:<br></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><br>
</span>I've designed circuits using algorithms claiming to be lightweight crypto<br>
and there seems to be two common properties of lightweight crypto<br>
algorithms (1) The smallest instantiations are less secure, using shorter<br>
keys and/or shorter block sizes. and (2) they are more scalable, since the<br>
inner round functions are very small, so there is a lot more unrolling<br>
flexibility, so you can build small slow ones and big fast ones and many<br>
points in between those extremes.<br></blockquote><div><br></div><div>Thank you!</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
The consensus at the NIST lightweight crypto conference last year was that<br>
we shouldn't compromise on security. So the real important feature of<br>
algorithms is efficiency and scalability and lightweight algorithms<br>
generally meet those criteria. Simon for instance turns out to be 3X more<br>
efficient than AES at the same strength and performance so it is a much<br>
better algorithm overall than AES.<br></blockquote><div><br></div><div>I am not sure that the results from the paper [1] for Simon analysis show the same strength for Simon and AES.</div><div><br></div><div>1. <a href="https://eprint.iacr.org/2013/543.pdf">https://eprint.iacr.org/2013/543.pdf</a></div></div><div><br></div>-- <br><div class="gmail_signature">SY, Dmitry Belyavsky</div>
</div></div>