diff --git a/arm64/crypto/aes128-decrypt.asm b/arm64/crypto/aes128-decrypt.asm
index aadfc480509b6aadec171808e5317c2ffbe7428e..70f2a64ece0f403b40b405fe37dca27c5bc49b8d 100644
--- a/arm64/crypto/aes128-decrypt.asm
+++ b/arm64/crypto/aes128-decrypt.asm
@@ -73,16 +73,16 @@ PROLOGUE(nettle_aes128_decrypt)
L4B_loop:
ld1 {S0.16b,S1.16b,S2.16b,S3.16b},[SRC],#64
- AESD_ROUND_4B(S0,S1,S2,S3,K0)
- AESD_ROUND_4B(S0,S1,S2,S3,K1)
- AESD_ROUND_4B(S0,S1,S2,S3,K2)
- AESD_ROUND_4B(S0,S1,S2,S3,K3)
- AESD_ROUND_4B(S0,S1,S2,S3,K4)
- AESD_ROUND_4B(S0,S1,S2,S3,K5)
- AESD_ROUND_4B(S0,S1,S2,S3,K6)
- AESD_ROUND_4B(S0,S1,S2,S3,K7)
+ AESD_ROUND_4B(S0,S1,S2,S3,K10)
+ AESD_ROUND_4B(S0,S1,S2,S3,K9)
AESD_ROUND_4B(S0,S1,S2,S3,K8)
- AESD_LAST_ROUND_4B(S0,S1,S2,S3,K9,K10)
+ AESD_ROUND_4B(S0,S1,S2,S3,K7)
+ AESD_ROUND_4B(S0,S1,S2,S3,K6)
+ AESD_ROUND_4B(S0,S1,S2,S3,K5)
+ AESD_ROUND_4B(S0,S1,S2,S3,K4)
+ AESD_ROUND_4B(S0,S1,S2,S3,K3)
+ AESD_ROUND_4B(S0,S1,S2,S3,K2)
+ AESD_LAST_ROUND_4B(S0,S1,S2,S3,K1,K0)
st1 {S0.16b,S1.16b,S2.16b,S3.16b},[DST],#64
@@ -97,16 +97,16 @@ L1B:
L1B_loop:
ld1 {S0.16b},[SRC],#16
- AESD_ROUND_1B(S0,K0)
- AESD_ROUND_1B(S0,K1)
- AESD_ROUND_1B(S0,K2)
- AESD_ROUND_1B(S0,K3)
- AESD_ROUND_1B(S0,K4)
- AESD_ROUND_1B(S0,K5)
- AESD_ROUND_1B(S0,K6)
- AESD_ROUND_1B(S0,K7)
+ AESD_ROUND_1B(S0,K10)
+ AESD_ROUND_1B(S0,K9)
AESD_ROUND_1B(S0,K8)
- AESD_LAST_ROUND_1B(S0,K9,K10)
+ AESD_ROUND_1B(S0,K7)
+ AESD_ROUND_1B(S0,K6)
+ AESD_ROUND_1B(S0,K5)
+ AESD_ROUND_1B(S0,K4)
+ AESD_ROUND_1B(S0,K3)
+ AESD_ROUND_1B(S0,K2)
+ AESD_LAST_ROUND_1B(S0,K1,K0)
st1 {S0.16b},[DST],#16
diff --git a/arm64/crypto/aes192-decrypt.asm b/arm64/crypto/aes192-decrypt.asm
index 769edd15dbe65a363d9eba0e64aef659b57f1de0..b8eb30fd58776b321cd26ebd5d96466dd001d8e9 100644
--- a/arm64/crypto/aes192-decrypt.asm
+++ b/arm64/crypto/aes192-decrypt.asm
@@ -76,18 +76,18 @@ PROLOGUE(nettle_aes192_decrypt)
L4B_loop:
ld1 {S0.16b,S1.16b,S2.16b,S3.16b},[SRC],#64
- AESD_ROUND_4B(S0,S1,S2,S3,K0)
- AESD_ROUND_4B(S0,S1,S2,S3,K1)
- AESD_ROUND_4B(S0,S1,S2,S3,K2)
- AESD_ROUND_4B(S0,S1,S2,S3,K3)
- AESD_ROUND_4B(S0,S1,S2,S3,K4)
- AESD_ROUND_4B(S0,S1,S2,S3,K5)
- AESD_ROUND_4B(S0,S1,S2,S3,K6)
- AESD_ROUND_4B(S0,S1,S2,S3,K7)
- AESD_ROUND_4B(S0,S1,S2,S3,K8)
- AESD_ROUND_4B(S0,S1,S2,S3,K9)
+ AESD_ROUND_4B(S0,S1,S2,S3,K12)
+ AESD_ROUND_4B(S0,S1,S2,S3,K11)
AESD_ROUND_4B(S0,S1,S2,S3,K10)
- AESD_LAST_ROUND_4B(S0,S1,S2,S3,K11,K12)
+ AESD_ROUND_4B(S0,S1,S2,S3,K9)
+ AESD_ROUND_4B(S0,S1,S2,S3,K8)
+ AESD_ROUND_4B(S0,S1,S2,S3,K7)
+ AESD_ROUND_4B(S0,S1,S2,S3,K6)
+ AESD_ROUND_4B(S0,S1,S2,S3,K5)
+ AESD_ROUND_4B(S0,S1,S2,S3,K4)
+ AESD_ROUND_4B(S0,S1,S2,S3,K3)
+ AESD_ROUND_4B(S0,S1,S2,S3,K2)
+ AESD_LAST_ROUND_4B(S0,S1,S2,S3,K1,K0)
st1 {S0.16b,S1.16b,S2.16b,S3.16b},[DST],#64
@@ -102,18 +102,18 @@ L1B:
L1B_loop:
ld1 {S0.16b},[SRC],#16
- AESD_ROUND_1B(S0,K0)
- AESD_ROUND_1B(S0,K1)
- AESD_ROUND_1B(S0,K2)
- AESD_ROUND_1B(S0,K3)
- AESD_ROUND_1B(S0,K4)
- AESD_ROUND_1B(S0,K5)
- AESD_ROUND_1B(S0,K6)
- AESD_ROUND_1B(S0,K7)
- AESD_ROUND_1B(S0,K8)
- AESD_ROUND_1B(S0,K9)
+ AESD_ROUND_1B(S0,K12)
+ AESD_ROUND_1B(S0,K11)
AESD_ROUND_1B(S0,K10)
- AESD_LAST_ROUND_1B(S0,K11,K12)
+ AESD_ROUND_1B(S0,K9)
+ AESD_ROUND_1B(S0,K8)
+ AESD_ROUND_1B(S0,K7)
+ AESD_ROUND_1B(S0,K6)
+ AESD_ROUND_1B(S0,K5)
+ AESD_ROUND_1B(S0,K4)
+ AESD_ROUND_1B(S0,K3)
+ AESD_ROUND_1B(S0,K2)
+ AESD_LAST_ROUND_1B(S0,K1,K0)
st1 {S0.16b},[DST],#16
diff --git a/arm64/crypto/aes256-decrypt.asm b/arm64/crypto/aes256-decrypt.asm
index d787a74a40e7f2092612d6c63fc64d50d1e7c4f0..dc1633157bccf5701fc66efa18568e4461cb4de5 100644
--- a/arm64/crypto/aes256-decrypt.asm
+++ b/arm64/crypto/aes256-decrypt.asm
@@ -78,20 +78,20 @@ PROLOGUE(nettle_aes256_decrypt)
L4B_loop:
ld1 {S0.16b,S1.16b,S2.16b,S3.16b},[SRC],#64
- AESD_ROUND_4B(S0,S1,S2,S3,K0)
- AESD_ROUND_4B(S0,S1,S2,S3,K1)
- AESD_ROUND_4B(S0,S1,S2,S3,K2)
- AESD_ROUND_4B(S0,S1,S2,S3,K3)
- AESD_ROUND_4B(S0,S1,S2,S3,K4)
- AESD_ROUND_4B(S0,S1,S2,S3,K5)
- AESD_ROUND_4B(S0,S1,S2,S3,K6)
- AESD_ROUND_4B(S0,S1,S2,S3,K7)
- AESD_ROUND_4B(S0,S1,S2,S3,K8)
- AESD_ROUND_4B(S0,S1,S2,S3,K9)
- AESD_ROUND_4B(S0,S1,S2,S3,K10)
- AESD_ROUND_4B(S0,S1,S2,S3,K11)
+ AESD_ROUND_4B(S0,S1,S2,S3,K14)
+ AESD_ROUND_4B(S0,S1,S2,S3,K13)
AESD_ROUND_4B(S0,S1,S2,S3,K12)
- AESD_LAST_ROUND_4B(S0,S1,S2,S3,K13,K14)
+ AESD_ROUND_4B(S0,S1,S2,S3,K11)
+ AESD_ROUND_4B(S0,S1,S2,S3,K10)
+ AESD_ROUND_4B(S0,S1,S2,S3,K9)
+ AESD_ROUND_4B(S0,S1,S2,S3,K8)
+ AESD_ROUND_4B(S0,S1,S2,S3,K7)
+ AESD_ROUND_4B(S0,S1,S2,S3,K6)
+ AESD_ROUND_4B(S0,S1,S2,S3,K5)
+ AESD_ROUND_4B(S0,S1,S2,S3,K4)
+ AESD_ROUND_4B(S0,S1,S2,S3,K3)
+ AESD_ROUND_4B(S0,S1,S2,S3,K2)
+ AESD_LAST_ROUND_4B(S0,S1,S2,S3,K1,K0)
st1 {S0.16b,S1.16b,S2.16b,S3.16b},[DST],#64
@@ -106,20 +106,20 @@ L1B:
L1B_loop:
ld1 {S0.16b},[SRC],#16
- AESD_ROUND_1B(S0,K0)
- AESD_ROUND_1B(S0,K1)
- AESD_ROUND_1B(S0,K2)
- AESD_ROUND_1B(S0,K3)
- AESD_ROUND_1B(S0,K4)
- AESD_ROUND_1B(S0,K5)
- AESD_ROUND_1B(S0,K6)
- AESD_ROUND_1B(S0,K7)
- AESD_ROUND_1B(S0,K8)
- AESD_ROUND_1B(S0,K9)
- AESD_ROUND_1B(S0,K10)
- AESD_ROUND_1B(S0,K11)
+ AESD_ROUND_1B(S0,K14)
+ AESD_ROUND_1B(S0,K13)
AESD_ROUND_1B(S0,K12)
- AESD_LAST_ROUND_1B(S0,K13,K14)
+ AESD_ROUND_1B(S0,K11)
+ AESD_ROUND_1B(S0,K10)
+ AESD_ROUND_1B(S0,K9)
+ AESD_ROUND_1B(S0,K8)
+ AESD_ROUND_1B(S0,K7)
+ AESD_ROUND_1B(S0,K6)
+ AESD_ROUND_1B(S0,K5)
+ AESD_ROUND_1B(S0,K4)
+ AESD_ROUND_1B(S0,K3)
+ AESD_ROUND_1B(S0,K2)
+ AESD_LAST_ROUND_1B(S0,K1,K0)
st1 {S0.16b},[DST],#16