https://security.googleblog.com/2019/02/introducing-adiantum-encryption-for.html
https://lwn.net/Articles/768416/
https://eprint.iacr.org/2018/720.pdf
Узнал тут про существование Adiantum режима полнодискового шифрования.
Есть компьютер без аппаратного AES ускорения -- поэтому хочется
использовать Salsa/ChaCha шифр. Увидел что в cryptsetup есть какой-то
xchacha20,aes-adiantum-plain64 режим/шифр. Просто "chacha20" не
позволяет сделать, без указания poly1305, который уже включит хранение
аутентифицирующей информации на диске. Adiantum для ChaCha это как XTS
для блочных шифров: превращает этот потоковый шифр в tweakable. Выглядит
достойно, использует уже известные схемы построения.