Nonce
可以通過用密鑰對額外的位進行異或來擴展 ChaCha/Salsa20 的隨機數嗎?
可以通過用密鑰對額外的隨機數位進行異或來擴展 ChaCha 和 Salsa20 隨機數嗎?
我的推理如下:Rumba 壓縮功能允許攻擊者向核心提供任何 48 字節的輸入,並且HS1-SIV(CAESAR第二輪候選)明確假設並要求 ChaCha20 在相關密鑰模型中是安全的。正如 HS1-SIV 作者指出的那樣,如果 ChaCha 和 Salsa 核心是理想的,這是安全的 $ 48B\rightarrow 64B $ PRF(他們用密鑰對 MAC 進行異或)。
也許。但是您的計劃並未因其影響而受到社區的審查。
最好使用 Bernstein 本人推薦的 XSalsa20 或相關的 XChaCha20:http: //cr.yp.to/snuffle/xsalsa-20110204.pdf
在我看來,DJB 最初為 Salsa20 和 ChaCha20 選擇短的 64 位 nonce 是一個相當大的失誤,特別是考慮到過去所有的 nonce 濫用攻擊。儲存一個沒有機會重複的計數器實際上在實踐中非常困難。然後,他繼續製作一個“防白痴”加密庫*,該庫需要使用者*為每個“簡單”框功能提供隨機數,但在經過身份驗證的密文輸出中不包含隨機數。