Hash

HChaCha20 正式定義在哪裡?

  • August 14, 2017

我偶然發現了問答“ HS1-SIV 相對於 ChaCha20-Poly1305-SIV 的優勢?”,其中在問題中提到了“HChaCha20”。

試圖通過通常的研究資源進行查找,我未能找到處理 HChaCha20 的相應論文。它似乎被提及和實施的唯一地方是一些 github 項目(如 libsodium——但 libsodium 文件同樣沒有提到類似參考的論文)和 twitter 上的一些來回討論(也沒有指向任何紙)。

由於即使是一些知名且受人尊敬的安全庫,如 libsodium 也知道 HChaCha20 並實施了它,我只想問:HChaCha20正式定義在哪裡?

請注意,我問的是是否存在任何正式處理HChaCha20 的定義、描述和安全分析的論文,以及我可以在哪裡找到它。我對描述其實際工作方式的相關實現和/或解釋不感興趣。我可以閱讀原始碼,但我想檢查應該作為那些 HChaCha20 實現的基礎存在的相應論文。畢竟,驗證和確認需要一個正式的基礎。

如果不存在這樣的論文,我們甚至可以假設 HChaCha20 和相關實現在密碼學上是安全的嗎?如果,依據是什麼?該基礎的密碼安全性是如何以及在何處被正式分析和驗證的?還是 HChaCha20 直接依賴於 ChaCha20 核心來保證安全,而沒有重新審視與 ChaCha20 的安全假設不同的 HChaCha20 細節?如果是後者,我們真的可以假設 HChaCha20 是安全的嗎?畢竟,這意味著沒有對此類聲明的正式分析和驗證。

在多個科學門戶網站和密碼學相關論壇上進行進一步研究,結果發現根本不存在正式的規範。

HChaCha20 可以與 HSalsa20 完全相同的方式建構,但尚未真正指定或分析到我們通常期望指定和分析的密碼設計的完整範圍。

在這種關係中,引用CodesInChaos 的評論似乎也很有意義:

我認為不存在這樣的規範。為了安全,你可以直接將“如果 Salsa20 是安全的,HSalsa20 也是安全的”證明轉為“如果 ChaCha 是安全的,那麼 HChaCha 也是安全的”。相關:我可以將 ChaCha 核心用作 256 位到 256 位的單向功能嗎?

從 Cfrg 郵件列表的文章中可以得出相同的結論(範例):

XSalsa20/HSalsa20 的證明也適用於 XChaCha20/HChaCha20。(http://cr.yp.to/snuffle/xsalsa-20110204.pdfhttp://cr.yp.to/snuffle.html)…… _

_

引用自:https://crypto.stackexchange.com/questions/50043