是否考虑停止支持非NIST和IETF制定的密码算法标准？

[LuoZijun]

以下几个密码算法标准并非 NIST 或 IETF 制定，是否考虑移除这种密码算法实现呢？
这些算法，据我的了解大部分基本就是在 NIST 或 IETF 的标准上，做了一些小修改。
同时，目前的主流的加密库也没用对这些标准给予响应（如 OpenSSL/BoringSSL）。
移除这些实现，也可以减轻代码维护的负担。

• aes-128-pmac-siv
• aes-256-pmac-siv
• salsa20
• xchacha20-ietf-poly1305

另外，如果有人认为有必要保留的话，不知道能否说明下必要性（比如性能优势、安全优势）？

[zonyitoo]

1. siv is added by @quininer in Add experimental SIV support #81
2. xchacha20 is required by @kojirou1994 in xchacha20-ietf-poly1305 is not a supported method #113
3. salsa20 was always supported in the original verison: https://github.com/shadowsocks/shadowsocks/blob/master/shadowsocks/crypto/sodium.py#L319

[quininer]

标准总是落后于前沿技术的。

xsalsa 很好，我觉得没有必要删，也正在起草标准。https://tools.ietf.org/html/draft-irtf-cfrg-xchacha-03

aes-pmac-siv 可以换成 aes-siv/aes-gcm-siv，实际上差别不大。不过我没有再使用它（指 shadowsocks），所以也不介意直接删掉。https://tools.ietf.org/html/rfc5297 https://tools.ietf.org/html/rfc8452

[ghost]

aes-pmac-siv按说法不用进行大开销的多项式运算，在没有硬件加速的平台上面比aes-gcm快，可以留着日后再看。

[LuoZijun]

@studentmain 如果不支持AES-NI相关指令，我想恐怕要首先考虑的是 AES 的性能。至于 Auth 这块的性能不重要了。