Сальса20

Сальса20

Функция четверти раунда сальсы. Четыре параллельные копии совершают круг.
Общий
Дизайнеры	Дэниел Дж. Бернштейн
Впервые опубликовано	2007 г. (проектирован в 2005 г.) [1]
Преемники	ЧаЧа
Относится к	Румба20
Сертификация	eSTREAM Портфолио
Деталь шифрования
Размеры ключей	128 или 256 бит
Размер штата	512 бит
Состав	АРКС
Раунды	20
Скорость	3,91 cpb на Intel Core 2 Duo [2]
Лучший публичный криптоанализ
Криптоанализ 2008 года преодолевает 8 раундов из 20 и восстанавливает 256-битный секретный ключ за 2. 251 операции, используя 2 31 пары ключевых потоков. [3]

Salsa20 и тесно связанный с ним ChaCha — это потоковые шифры , разработанные Дэниелом Дж. Бернштейном . Salsa20, оригинальный шифр, был разработан в 2005 году, а затем позже отправлен eSTREAM Бернштейном на процедуру криптографической проверки Европейского Союза. ChaCha — это модификация Salsa20, опубликованная в 2008 году. Она использует новую функцию раунда, которая увеличивает распространение и повышает производительность на некоторых архитектурах. ^[4]

Оба шифра построены на псевдослучайной функции, основанной на операциях сложения-поворота-исключающее ИЛИ (ARX) — 32-битного сложения, побитового сложения (XOR) и вращения операций . Основная функция отображает 256-битный ключ , 64-битный nonce и 64-битный счетчик в 512-битный блок потока ключей (также существует версия Salsa со 128-битным ключом). Это дает Salsa20 и ChaCha необычное преимущество: пользователь может эффективно искать любую позицию в ключевом потоке за постоянное время. Salsa20 предлагает скорость около 4–14 циклов на байт в программном обеспечении на современных x86 . процессорах ^[5] и разумная производительность оборудования. Он не запатентован, и Бернштейн написал несколько общедоступных реализаций, оптимизированных для распространенных архитектур. ^[6]

Структура [ править ]

Внутри шифр использует побитовое сложение ⊕ ( исключающее ИЛИ ), 32-битное сложение по модулю 2. ³² ⊞ и операции вращения на постоянное расстояние <<< для внутреннего состояния шестнадцати 32-битных слов. Использование только операций add-rotate-xor позволяет избежать возможности атак по времени в программных реализациях. Внутреннее состояние состоит из шестнадцати 32-битных слов, организованных в виде матрицы 4×4.

Исходное состояние состоит из восьми ключевых слов (  ), два слова позиции потока (  ), два слова nonce (по сути, дополнительные биты позиции потока) (  ) и четыре фиксированных слова (  ):

Слова-константы обозначают «расширить 32-байтовый k» в ASCII (т.е. 4 слова — это «expa», «nd 3», «2-by» и «te k»). Это пример номера «ничего в рукаве» . Основная операция в Salsa20 — четверть раунда. QR(a, b, c, d) который принимает входные данные из четырех слов и выдает выходные данные из четырех слов:

б ^= (а + d) <<< 7;
 в ^= (б + а) <<< 9;
 d ^= (c + b) <<< 13;
 а ^= (д + с) <<< 18;
 

Применяются раунды с нечетными номерами QR(a, b, c, d)к каждому из четырех столбцов в матрице 4×4, а четные раунды применяют его к каждой из четырех строк. Два последовательных раунда (столбец и ряд) вместе называются двойным раундом:

// Нечетный раунд
 QR( 0, 4, 8, 12) // столбец 1
 QR( 5, 9, 13, 1) // столбец 2
 QR(10, 14, 2, 6) // столбец 3
 QR(15, 3, 7, 11) // столбец 4
 // Четный раунд
 QR( 0, 1, 2, 3) // строка 1
 QR( 5, 6, 7, 4) // строка 2
 QR(10, 11, 8, 9) // строка 3
 QR(15, 12, 13, 14) // строка 4
 

Ниже представлена ​​реализация на C/C++.

#include   <stdint.h> 
 #define ROTL(a,b) (((a) << (b)) | ((a) >> (32 - (b)))) 
 #define QR(a, b, c, d)( \ 
 b ^= ROTL(a + d, 7), \ 
 c ^= ROTL(b + a, 9), \ 
 d ^= ROTL(c + b,13), \ 
 a ^= ROTL( d + c,18)) 
 #define ROUNDS 20 

 void   salsa20_block  (  uint32_t   out  [  16  ],   uint32_t   const   in  [  16  ]) 
 { 
	 int   i  ; 
	  uint32_t   х  [  16  ]; 

	  для   (  я   знак равно   0  ;   я   <   16  ;   ++  я  ) 
		 Икс  [  я  ]   знак равно   в  [  я  ]; 
	  // 10 циклов × 2 раунда/цикл = 20 раундов 
	 for   (  i   =   0  ;   i   <   ROUNDS  ;   i   +=   2  )   { 
		 // Нечетный раунд 
		 QR  (  x  [   0  ],   x  [   4  ],   x  [   8  ],   x  [  12  ]);    // столбец 1 
		 QR  (  x  [   5  ],   x  [   9  ],   x  [  13  ],   x  [   1  ]);    // столбец 2 
		 QR  (  x  [  10  ],   x  [  14  ],   x  [   2  ],   x  [   6  ]);    // столбец 3 
		 QR  (  x  [  15  ],   x  [   3  ],   x  [   7  ],   x  [  11  ]);    // столбец 4 
		 // Четный круглый 
		 QR  (  x  [   0  ],   x  [   1  ],   x  [   2  ],   x  [   3  ]);    // строка 1 
		 QR  (  x  [   5  ],   x  [   6  ],   x  [   7  ],   x  [   4  ]);    // строка 2 
		 QR  (  x  [  10  ],   x  [  11  ],   x  [   8  ],   x  [   9  ]);    // строка 3 
		 QR  (  x  [  15  ],   x  [  12  ],   x  [  13  ],   x  [  14  ]);    // строка 4 
	 } 
	 for   (  i   =   0  ;   i   <   16  ;   ++  i  ) 
		 out  [  i  ]   =   x  [  i  ]   +   in  [  i  ]; 
  } 

В последней строке смешанный массив слово за словом добавляется к исходному массиву для получения его 64-байтового блока ключевого потока. Это важно, поскольку сами по себе раунды смешивания являются обратимыми . Другими словами, применение обратных операций даст исходную матрицу 4×4, включая ключ. Добавление смешанного массива к исходному делает невозможным восстановление входных данных. (Этот же метод широко используется в хэш-функциях от MD4 до SHA-2 .)

Salsa20 выполняет 20 раундов микширования на своем входе. ^[1] Однако также были представлены варианты Salsa20/8 и Salsa20/12 с уменьшенным количеством патронов, использующие 8 и 12 патронов соответственно. Эти варианты были представлены в качестве дополнения к оригинальному Salsa20, а не для его замены, и работали лучше. ^{[примечание 1]} в тестах eSTREAM, чем Salsa20, хотя и с соответственно более низким запасом безопасности.

XSalsa20 со 192-битным nonce [ править ]

В 2008 году Бернштейн предложил вариант Salsa20 со 192-битными одноразовыми номерами под названием XSalsa20. ^{[7] [8] [9]} XSalsa20 доказуемо безопасен, если Salsa20 безопасен, но он больше подходит для приложений, где желательны более длинные одноразовые номера. XSalsa20 подает ключ и первые 128 бит nonce в один блок Salsa20 (без последнего сложения, которое может быть опущено или вычтено после стандартного блока Salsa20) и использует 256 бит вывода в качестве ключа для стандартного блока Salsa20. Salsa20 использует последние 64 бита nonce и позицию потока. В частности, используемые 256 бит вывода соответствуют несекретным частям ввода: индексам 0, 5, 10, 15, 6, 7, 8 и 9.

eSTREAM выбор Salsa20 [ править ]

Salsa20/12 был выбран в качестве проекта Фазы 3 для Профиля 1 (программное обеспечение) проектом eSTREAM , получив наивысший взвешенный балл голосования среди всех алгоритмов Профиля 1 в конце Фазы 2. ^[10] Salsa20 ранее был выбран проектом eSTREAM в качестве основного проекта Фазы 2 для Профиля 1 (программное обеспечение) и в качестве проекта Фазы 2 для Профиля 2 (аппаратное обеспечение). ^[11] но не был переведен на этап 3 для профиля 2, поскольку eSTREAM считал, что он, вероятно, не является хорошим кандидатом для аппаратных сред с чрезвычайно ограниченными ресурсами. ^[12]

Комитет eSTREAM рекомендует использовать Salsa20/12, вариант с 12 раундами, для «сочетания очень хорошей производительности с комфортным запасом прочности». ^[13]

Криптоанализ Salsa20 [ править ]

По состоянию на 2015 год ^[update], нет опубликованных нападок на Salsa20/12 или полную версию Salsa20/20; лучшая известная атака ^[3] ломает 8 из 12 или 20 раундов.

В 2005 году Пол Кроули сообщил об атаке на Salsa20/5 с предполагаемой временной сложностью 2. ¹⁶⁵ и выиграл приз Бернштейна в размере 1000 долларов США за «самый интересный криптоанализ Salsa20». ^[14] Эта атака и все последующие атаки основаны на усеченном дифференциальном криптоанализе . В 2006 году Фишер, Мейер, Бербен, Биассе и Робшоу сообщили об атаке на Salsa20/6 с расчетной временной сложностью 2. ¹⁷⁷ и атака по связанному ключу на Salsa20/7 с расчетной временной сложностью 2. ²¹⁷ . ^[15]

В 2007 году Цуноо и др. объявила о криптоанализе Salsa20, который взламывает 8 раундов из 20 и восстанавливает 256-битный секретный ключ за 2 ²⁵⁵ операции, используя 2 ^11.37 пары ключевых потоков. ^[16] Однако эта атака, похоже, не может конкурировать с атакой грубой силы.

В 2008 году Аумассон, Фишер, Хазаи, Мейер и Рехбергер сообщили о криптоаналитической атаке на Salsa20/7 с временной сложностью 2. ¹⁵¹ , и они сообщили об атаке на Salsa20/8 с расчетной временной сложностью 2 ²⁵¹ . Эта атака использует новую концепцию вероятностных нейтральных ключевых битов для вероятностного обнаружения усеченного дифференциала. Атаку можно адаптировать для взлома Salsa20/7 с помощью 128-битного ключа. ^[3]

В 2012 году атака Аумассона и др. был улучшен Shi et al. против Salsa20/7 (128-битный ключ) с временной сложностью 2 ¹⁰⁹ и Salsa20/8 (256-битный ключ) до 2 ²⁵⁰ . ^[17]

В 2013 году Моуха и Пренель опубликовали доказательство. ^[18] что 15 раундов Salsa20 были 128-битной защитой от дифференциального криптоанализа . (В частности, он не имеет дифференциальной характеристики с вероятностью выше 2 ⁻¹³⁰ , поэтому дифференциальный криптоанализ будет сложнее, чем исчерпание 128-битного ключа.)

Вариант ЧаЧа [ править ]

ЧаЧа

Функция четверти раунда ChaCha. Четыре параллельные копии совершают круг.
Общий
Дизайнеры	Дэниел Дж. Бернштейн
Впервые опубликовано	2008
Полученный из	Сальса20
Относится к	Румба20
Деталь шифрования
Размеры ключей	128 или 256 бит
Размер штата	512 бит
Состав	АРКС
Раунды	20
Скорость	3,95 cpb на Intel Core 2 Duo [4] : 2

В 2008 году Бернштейн опубликовал тесно связанное семейство шифров ChaCha , целью которых является увеличение диффузии за раунд при достижении такой же или немного лучшей производительности. ^[19] Аумассон и др. paper также атакует ChaCha, добиваясь на один раунд меньше (для 256-битной ChaCha6 со сложностью 2 ¹³⁹ , ЧаЧа7 со сложностью 2 ²⁴⁸ и 128-битный ChaCha6 в течение 2 ¹⁰⁷ ), но утверждает, что атаке не удалось взломать 128-битную ChaCha7. ^[3]

Как и Salsa20, исходное состояние ChaCha включает 128-битную константу, 256-битный ключ, 64-битный счетчик и 64-битный одноразовый номер (в исходной версии; как описано позже, версия ChaCha из RFC   7539 немного отличается), представленный в виде матрицы 4×4 из 32-битных слов. ^[19] Но ChaCha переставляет некоторые слова в исходное состояние:

Константа такая же, как Salsa20 («расширить 32-байтовый k»). ЧаЧа заменяет четвертьраунд Salsa20 QR(a, b, c, d) с:

а += б;  д ^= а;  д <<<= 16;
 с += г;  б ^= с;  б <<<= 12;
 а += б;  д ^= а;  д <<<= 8;
 с += г;  б ^= с;  б <<<= 7;
 

Обратите внимание, что в этой версии каждое слово обновляется дважды, тогда как в четверти раунде Salsa20 каждое слово обновляется только один раз. Кроме того, четверть раунда ЧаЧа быстрее распространяет изменения. В среднем после изменения 1 входного бита четвертьраунд Salsa20 изменит 8 выходных битов, а ChaCha изменит 12,5 выходных битов. ^[4]

Четверть раунда ChaCha имеет такое же количество добавлений, операций xor и поворотов битов, что и четверть раунда Salsa20, но тот факт, что два из циклов кратны 8, позволяет провести небольшую оптимизацию на некоторых архитектурах, включая x86. ^[20] Кроме того, форматирование входных данных было изменено для поддержки эффективной оптимизации реализации SSE , обнаруженной для Salsa20. Вместо того, чтобы чередовать округления вниз по столбцам и по строкам, они выполняются вниз по столбцам и по диагонали. ^{[4] : 4} Как и Salsa20, ChaCha упорядочивает шестнадцать 32-битных слов в матрице 4×4. Если мы проиндексируем элементы матрицы от 0 до 15

тогда двойной раунд в ChaCha:

// Нечетный раунд
 QR(0, 4, 8, 12) // столбец 1
 QR(1, 5, 9, 13) // столбец 2
 QR(2, 6, 10, 14) // столбец 3
 QR(3, 7, 11, 15) // столбец 4
 // Четный раунд
 QR(0, 5, 10, 15) // диагональ 1 (основная диагональ)
 QR(1, 6, 11, 12) // диагональ 2
 QR(2, 7, 8, 13) // диагональ 3
 QR(3, 4, 9, 14) // диагональ 4
 

ChaCha20 использует 10 итераций двойного раунда. ^[21] Ниже представлена ​​реализация на C/C++.

#define ROTL(a,b) (((a) << (b)) | ((a) >> (32 - (b)))) 
 #define QR(a, b, c, d) ( \ 
 a += b, d ^= a, d = ROTL(d, 16), \ 
 c += d, b ^= c, b = ROTL(b, 12), \ 
 a += b, d ^= a, d = ROTL(d, 8), \ 
 c += d, b ^= c, b = ROTL(b, 7)) 
 #define ROUNDS 20 

 void   chacha_block  (  uint32_t   out  [  16  ],   uint32_t   const   in  [  16  ]) 
 { 
	 int   я  ; 
	  uint32_t   х  [  16  ]; 

	  для   (  я   знак равно   0  ;   я   <   16  ;   ++  я  ) 
		 Икс  [  я  ]   знак равно   в  [  я  ]; 
	  // 10 циклов × 2 раунда/цикл = 20 раундов 
	 for   (  i   =   0  ;   i   <   ROUNDS  ;   i   +=   2  )   { 
		 // Нечетный раунд 
		 QR  (  x  [  0  ],   x  [  4  ],   x  [   8  ],   x  [  12  ]);    // столбец 1 
		 QR  (  x  [  1  ],   x  [  5  ],   x  [   9  ],   x  [  13  ]);    // столбец 2 
		 QR  (  x  [  2  ],   x  [  6  ],   x  [  10  ],   x  [  14  ]);    // столбец 3 
		 QR  (  x  [  3  ],   x  [  7  ],   x  [  11  ],   x  [  15  ]);    // столбец 4 
		 // Четный круглый 
		 QR  (  x  [  0  ],   x  [  5  ],   x  [  10  ],   x  [  15  ]);    // диагональ 1 (основная диагональ) 
		 QR  (  x  [  1  ],   x  [  6  ],   x  [  11  ],   x  [  12  ]);    // диагональ 2 
		 QR  (  x  [  2  ],   x  [  7  ],   x  [   8  ],   x  [  13  ]);    // диагональ 3 
		 QR  (  x  [  3  ],   x  [  4  ],   x  [   9  ],   x  [  14  ]);    // диагональ 4 
	 } 
	 for   (  i   =   0  ;   i   <   16  ;   ++  i  ) 
		 out  [  i  ]   =   x  [  i  ]   +   in  [  i  ]; 
  } 

ChaCha — основа хеш-функции BLAKE , финалиста конкурса хэш-функций NIST , а также ее более быстрых преемников BLAKE2 и BLAKE3. Он также определяет вариант с использованием шестнадцати 64-битных слов (1024 бита состояния) с соответствующим образом скорректированными константами вращения.

ХЧаЧа [ править ]

Хотя Бернштейн и не объявил об этом, доказательство безопасности XSalsa20 напрямую распространяется на аналогичный шифр XChaCha . Используйте ключ и первые 128 бит nonce (во входных словах с 12 по 15), чтобы сформировать входной блок ChaCha, затем выполните операцию блока (опуская последнее сложение). Выходные слова 0–3 и 12–15 (те слова, которые соответствуют неключевым словам ввода) затем формируют ключ, используемый для обычной ChaCha (с последними 64 битами nonce и 64 битами счетчика блоков). ^[22]

ЧаЧа с сокращенным раундом [ править ]

В 2020 году Аумассон утверждает, что 8 раундов ChaCha (ChaCha8), вероятно, обеспечивают достаточную устойчивость к будущему криптоанализу для того же уровня безопасности , что дает ускорение в 2,5 раза. ^[23] Компромиссная ChaCha12 (на основе рекомендации eSTREAM по сальсе из 12 раундов) ^[24] тоже видит некоторую пользу. ^[25] Пакет для сравнительного анализа eSTREAM включает ChaCha8 и ChaCha12. ^[19]

Принятие ChaCha20 [ править ]

Google выбрал ChaCha20 вместе с Poly1305 кодом аутентификации сообщений Бернштейна в SPDY , который был задуман как замена TLS через TCP . ^[26] В процессе они предложили новую конструкцию аутентифицированного шифрования, объединяющую оба алгоритма, которая называется ChaCha20-Poly1305 . ChaCha20 и Poly1305 теперь используются в протоколе QUIC , который заменяет SPDY и используется HTTP/3 . ^{[27] [28]}

Вскоре после принятия Google на TLS алгоритмы ChaCha20 и Poly1305 также использовались для нового протокола. [email protected] шифровать в OpenSSH . ^{[29] [30]} Впоследствии это позволило OpenSSH избежать любой зависимости от OpenSSL с помощью опции времени компиляции. ^[31]

ChaCha20 также используется для arc4random генератор случайных чисел во FreeBSD , ^[32] OpenBSD , ^[33] и NetBSD ^[34] операционных системах, вместо сломанного RC4 , и в DragonFly BSD ^[35] для функции CSPRNG ядра. ^{[36] [37]} Начиная с версии 4.8, ядро ​​Linux использует алгоритм ChaCha20 для генерации данных для неблокирующего устройства /dev/urandom . ^{[38] [39] [40]} ChaCha8 используется в качестве PRNG по умолчанию в Golang . ^[41] CSPRNG Rust использует ChaCha12. ^[24]

ChaCha20 обычно обеспечивает более высокую производительность, чем более распространенный алгоритм Advanced Encryption Standard (AES) в системах, где ЦП не поддерживает ускорение AES (например, набор инструкций AES для процессоров x86). В результате ChaCha20 иногда предпочтительнее AES в определенных случаях использования мобильных устройств , которые в основном используют ARM . процессоры на базе ^{[42] [43]} Специализированные аппаратные ускорители для ChaCha20 также менее сложны по сравнению с ускорителями AES. ^[44]

ChaCha20-Poly1305 (версия IETF; см. ниже) — это эксклюзивный алгоритм, используемый системой WireGuard VPN, начиная с версии протокола 1. ^[45]

Интернет-стандарты [ править ]

Справочник по реализации ChaCha20 опубликован в РФК   7539 . Реализация IETF . изменила опубликованный алгоритм Бернштейна, изменив 64-битный одноразовый номер и 64-битный счетчик блоков на 96-битный одноразовый номер и 32-битный счетчик блоков ^[46] Имя не было изменено при изменении алгоритма, поскольку оно не имеет криптографического значения (оба образуют то, что криптограф распознает как 128-битный одноразовый номер), но изменение интерфейса может стать источником путаницы для разработчиков. Из-за уменьшенного счетчика блоков максимальная длина сообщения, которое можно безопасно зашифровать по варианту IETF, равна 2. ³² блоки по 64 байта (256 ГиБ ). Для приложений, где этого недостаточно, например для шифрования файлов или дисков, RFC   7539 предлагает использовать оригинальный алгоритм с 64-битным одноразовым номером.

Использование ChaCha20 в IKE и IPsec было предложено для стандартизации в РФК   7634 . Предлагаемая стандартизация его использования в TLS опубликована как РФК   7905 .

В 2018 году RFC 7539 устарел. RFC   8439 . RFC 8439 объединяет некоторые ошибки и добавляет дополнительные соображения безопасности. ^[47]

См. также [ править ]

• Speck - шифр «сложение-поворот-исключающее или», разработанный АНБ.
• ChaCha20-Poly1305 - схема AEAD, сочетающая ChaCha20 с Poly1305 MAC.

Примечания [ править ]

Ссылки [ править ]

Внешние ссылки [ править ]

• Snuffle 2005: функция шифрования Salsa20
• Спецификация Salsa20 ( PDF )
• Сальса20/8 и Сальса20/12 (PDF)
• Проект eSTREAM: Salsa20
• Семейство потоковых шифров ChaCha.
• Использование и развертывание Salsa20
• Реализация и дидактическая визуализация семейства шифров ChaCha в CrypTool 2