XSalsa20Poly1305 สำหรับการเข้ารหัสที่เหลือ

ในขณะที่คุณไม่ได้กล่าวถึงแหล่งที่มาที่นี่ หนึ่ง. จริงๆแล้ว ตระกูล XSalsa อธิบายไว้ในเอกสารของเบิร์นสไตน์

• 2011, ขยาย Salsa20 nonce, ดีเจ.บี.

"X" ใน XSalsa20Poly1305 หมายถึง nonce 192 บิตหรือไม่

ใช่ หมายความว่าขนาดที่ไม่เป็นมาตรฐานของ XSalsa คือ 192 บิต ในขณะที่ Salsa มี 64 บิต นี่เป็นเรื่องใหญ่มากที่แม้แต่การสุ่ม nonce ก็ต้องสร้าง $2^{96}$ ไม่มีเครื่องแบบเพื่อให้การชนเกิดขึ้นด้วยความน่าจะเป็น 50% สิ่งนี้สำคัญมากในคีย์ระยะยาว ถ้าคู่ (key,nonce) ถูกดำเนินการต่อ การรักษาความลับจะหายไป 192 บิตป้องกันสิ่งนี้ เป็นเหตุการณ์ที่แทบจะไม่มีวันเกิดขึ้นเลยสำหรับการเข้ารหัส

มีข้อได้เปรียบที่สำคัญของการใช้ XSalsa20Poly1305 หรือไม่?

• สิ่งที่ชัดเจนคือ nonces ยาว
• อีกอันคือ Poly1305 เป็นตัวตรวจสอบความถูกต้องที่ดีกว่า GCM.
• มีประสิทธิภาพ CPU ที่ดีมากด้วยการออกแบบ ARX เอาชนะ AES ใน CPU ดิบ และแม้กระทั่งสามารถแข่งขันกับ AES-NI ได้

การเปรียบเทียบ OpenSSL (ChaCha ไม่ใช่ Salsa);

นอกจากนี้ โปรดทราบว่าในกระดาษ Bernstein ให้หลักฐานความปลอดภัย ถ้า Salsa20 ปลอดภัย XSalsa ก็เช่นกัน

ได้รับการพิสูจน์แล้วว่า 15 รอบของ Salsa20 ปลอดภัยจากการโจมตีที่แตกต่างกัน

• 2013, Mouha และ Preneel, สู่การค้นหาลักษณะความแตกต่างที่เหมาะสมที่สุดสำหรับ ARX: การประยุกต์ใช้กับ Salsa20

โปรดทราบว่ามีรูปแบบใหม่ของตระกูล Salsa; ครอบครัวชาช่า ตระกูล ChaCha มีเป้าหมายเพื่อเพิ่มการแพร่กระจายต่อรอบด้วยความเร็วเกือบเท่าเดิม ตระกูล ChaCha ถูกดัดแปลงมากกว่าตระกูล Salsa, TLS 1.3 ใช้ ChaCha20-Pol1305

ChaCha20 ยังมี XChaCha20-Poly1305 (ร่าง IETF) ที่ใช้ขนาด nonce 192 บิตเหมือนกัน เป็นที่นิยมมากกว่า XSalsa20-Poly1305 โปรดทราบว่าตระกูล ChaCha ได้รับการศึกษาน้อยกว่าตระกูล Salsa เนื่องจากมีตัวแทนของ Salsa โครงการ eSTREAM.

ชอบ XChaCha20-Poly1305 ถ้าทำได้

โปรดทราบว่าต้องมีการเข้ารหัสที่รับรองความถูกต้องในการส่ง จึงแนะนำให้ใช้กับข้อมูลที่เหลือ