可以通過用密鑰對額外的位進行異或來擴展 ChaCha/Salsa20 的隨機數嗎？

可以通過用密鑰對額外的隨機數位進行異或來擴展 ChaCha 和 Salsa20 隨機數嗎？

我的推理如下：Rumba 壓縮功能允許攻擊者向核心提供任何 48 字節的輸入，並且HS1-SIV（CAESAR第二輪候選）明確假設並要求 ChaCha20 在相關密鑰模型中是安全的。正如 HS1-SIV 作者指出的那樣，如果 ChaCha 和 Salsa 核心是理想的，這是安全的 $ 48B\rightarrow 64B $ PRF（他們用密鑰對 MAC 進行異或）。

也許。但是您的計劃並未因其影響而受到社區的審查。

最好使用 Bernstein 本人推薦的 XSalsa20 或相關的 XChaCha20：http: //cr.yp.to/snuffle/xsalsa-20110204.pdf

在我看來，DJB 最初為 Salsa20 和 ChaCha20 選擇短的 64 位 nonce 是一個相當大的失誤，特別是考慮到過去所有的 nonce 濫用攻擊。儲存一個沒有機會重複的計數器實際上在實踐中非常困難。然後，他繼續製作一個“防白痴”加密庫*，該庫需要使用者*為每個“簡單”框功能提供隨機數，但在經過身份驗證的密文輸出中不包含隨機數。

引用自：https://crypto.stackexchange.com/questions/33955