<div dir="ltr"><div dir="ltr"><div>No matter if one trust NIST or not, one has to admit the following point:</div><div>As of today there isn't a well reviewed AEAD+hash primitive optimised for IoT edge devices</div><div><br></div><div>By IoT edge devices I mean:</div><div>- RAM in the single digit KBytes</div><div>- exposed to the threats of physical attacks (EM side channels, glitch or laser fault attacks...)</div><div><br></div><div><div>libsodium does not solve the issue: chacha is ARX, 
ARX is costly to secure against side channel attacks (not talking about 
trivial timing/cache attacks here, EM side channel attacks is the 
problem. Bertoni and al. wrote something about it 
(<a href="https://keccak.team/2017/not_arx.html">https://keccak.team/2017/not_arx.html</a>). Having worked on the issue for 
more than a decade, I very much confirm this fact. Basically AES is hard
 to secure against EM side channel and anything ARX is harder.(hard here is short for "large area, high power consumption, low performance").<br></div></div><div><br></div><div>It is somewhat ironic that all crypto standardized so far is mostly optimized for running on servers conveniently protected against physical attacks and that ressource constrained devices, which are far more cost sensitive and numerous, have to follow.</div><div><br></div><div>NIST finally recognized this and did the right thing: launch an open competition which takes into account the contraints of the low end, most exposed devices. <br></div><div>Crucially, unlike the CAESAR competition, they will take into account:</div><div>- the possibility to get AEAD and hash from the same primitive</div><div>- the ease to protect against physical attacks</div><div>CAESAR competition also have another limitation: it selected 7 winners instead of 1 like AES or SHA-3 competitions. Selecting a single winner is crucial for adoption, the 7 winners of CAESAR are never going to end up in a hardware accelerator, implementing 7 small primitive instead of AES defeats the point (and implementers don't choose a winner nor the customers who just know they want "security" without accepting any additional price increase).</div></div><div dir="ltr"><br></div><div>In short, this competition is good news for anyone careing about security outside the cloud and secure rooms. <br></div><div>Most submissions to this competition are most likely completly independant from NIST/NSA/KGB and friends (at least that's the case for DryGASCON and I trust it is also the case for ASCON and ISAP).</div><div><br></div><div>Sebastien<br></div></div>