XSalsa20Poly1305 для шифрования в состоянии покоя

tcurdt

08.11.2022, 11:47

Я только что нашел проект, который использовал XSalsa20Poly1305 для транзита и шифрования в состоянии покоя. Я пытаюсь найти какую-то информацию, стоит ли доверять данным.

Кажется, немного сложно поместить информацию, которую я нашел, в контекст. Я читал, что Poly1305 (MAC) с (большим количеством раундов) Salsa20 (шифр) может быть альтернативой AES.

Есть ли значительное преимущество в использовании XSalsa20Poly1305?
Есть ли "Х" в ИксSalsa20Poly1305 просто означает 192-битный одноразовый номер?

Я не криптограф и хотел бы понять некоторые детали.

265

1 + 0

надежное хранилище

чача

Рейтинг:4

Crypto

kelalaka

08.11.2022, 15:27

Пока вы не указали источник, вот один. На самом деле семейство XSalsa описано в статье Бернштейна;

2011, Расширение одноразового номера Salsa20, Д.Дж.Б.

Означает ли «X» в XSalsa20Poly1305 просто 192-битный одноразовый номер?

Да, это означает, что размер одноразового номера XSalsa — 192-битный, а Salsa — 64-битный. Это настолько огромно, что даже для случайных одноразовых номеров приходится генерировать $2^{96}$ однородные одноразовые номера, чтобы столкновение произошло с вероятностью 50%. Это очень важно в долгосрочных ключах. Если повторно используется пара (ключ, одноразовый номер), конфиденциальность теряется. 192-бит предотвращает это. Для криптографии это почти никогда не произойдет.

Есть ли значительное преимущество в использовании XSalsa20Poly1305?

Очевидным является длинный одноразовый номер.
Другой - это Poly1305 — лучший аутентификатор, чем GCM.
Он имеет очень хорошую производительность процессора благодаря дизайну ARX, превосходит AES в чистом процессоре и даже может конкурировать с AES-NI.

Сравнение OpenSSL (ChaCha, а не Salsa);

тип	16 байт	64 байта	256 байт	1024 байта	8192 байта	16384 байта
чача20	361334.62k	665775.85k	1334323.20k	2750173.87k	2945690.28k	2972353.50k
aes-128-ctr NI	525049.40k	1867614.12k	3840132.18k	5231174.31k	5816388.27k	5875471.70k
aes-128-ctr	190707.84k	228983.55k	236486.66k	243153.92k	242283.86k	242614.27k

Также обратите внимание, что в статье Бернстайн представил доказательства безопасности; если Salsa20 безопасна, то и XSalsa тоже.

Доказано, что 15 раундов Salsa20 защищены от дифференциальных атак.

2013, Муха и Пренил, На пути к поиску оптимальных дифференциальных характеристик для ARX: приложение к Salsa20

Обратите внимание, что есть новый вариант семейства Salsa; семья ЧаЧа. Семейство ChaCha нацелено на увеличение диффузии за раунд практически с той же скоростью. Семейство ChaCha адаптировано больше, чем семейство Salsa, TLS 1.3 использует ChaCha20-Pol1305.

У ChaCha20 также есть XChaCha20-Poly1305 (черновик ietf), в котором используются те же 192-битные одноразовые номера. Предпочтительнее XSalsa20-Poly1305. Отметим, что семейство Ча-Ча менее изучено, чем семейство Сальса, в связи с тем, что Сальса представлена в проект eSTREAM.

Если есть возможность, отдайте предпочтение XChaCha20-Poly1305.

Обратите внимание, что аутентифицированное шифрование является обязательным при передаче, рекомендуется для остальных данных.

0 + 1

tcurdt

09.11.2022, 18:14

Фантастический ввод. Очень признателен.

Ответить

Admin

Этот вопрос на других языках:

EN: XSalsa20Poly1305 for encryption at rest

TH: XSalsa20Poly1305 สำหรับการเข้ารหัสที่เหลือ

RO: XSalsa20Poly1305 pentru criptare în repaus

RU: XSalsa20Poly1305 для шифрования в состоянии покоя

VI: XSalsa20Poly1305 để mã hóa khi nghỉ ngơi

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.