Salsa20演算法介紹

Init0ne發表於2021-05-15
演算法

簡介

Salsa20是一種流式對稱加密演算法,類似於Chacha20,演算法效能相比AES能夠快3倍以上。
Salsa20演算法通過將32 Byte的key和8 Byte的隨機數nonce擴充套件為2^70 Byte的隨機位元組流,通過隨機位元組流和異或操作實現加解密,因此Salsa20演算法中隨機位元組流的生成為關鍵所在。

隨機位元組流生成

Salsa20演算法生成隨機位元組流時,一次生成一個64位元組的block,每一個block是通過將key、nonce和block number以及部分常量組成64位元組的input,通過核函式,輸出64位元組的output。最終多個block組成長度為2^70的隨機位元組流,在生成過程中,每個block相互獨立。

Input

64位元組的input分為16個word,每個word為4位元組,由以下8部分組成:

  • 4位元組的常量0x61707865
  • key的前16位元組
  • 4位元組的常量0x3320646e
  • 8位元組的隨機數nonce
  • 8位元組的block-counter
  • 4位元組的常量0x79622d32
  • key的剩餘16位元組
  • 4位元組的常量0x6b206574

最終64位元組(16 words)組成一個4*4的矩陣。例如,對於key (1, 2, 3, 4, 5, . . . , 32), nonce
(3, 1, 4, 1, 5, 9, 2, 6), 以及 block 7的初始矩陣為:

0x61707865, 0x04030201, 0x08070605, 0x0c0b0a09,
0x100f0e0d, 0x3320646e, 0x01040103, 0x06020905,
0x00000007, 0x00000000, 0x79622d32, 0x14131211,
0x18171615, 0x1c1b1a19, 0x201f1e1d, 0x6b206574.

核函式

Salsa20演算法核函式將64位元組的輸入以矩陣形式作為引數,輸出64位元組的運算結果.
Salsa20核函式運算主要包括的運算如下,其中a和b皆為32bit(4 Byte)的資料:

  • 32 bit模加:(a + b) mod 2^32
  • 異或:a XOR b
  • 左移:a <<< b,其中b為常量,在Salsa20演算法中左移的值為7、9、13、18

針對輸入矩陣中的每個word,執行20輪的如下操作:
b ⊕= (a ⊞ c) <<< k,其中為異或,模加,<<<為左移。

經過20輪計算後,將輸出的矩陣核原始矩陣相加,得到輸出。

Salsa20核函式具體實現如下:

     #define R(a,b) (((a) << (b)) | ((a) >> (32 - (b))))
     void salsa20_word_specification(uint32 out[16],uint32 in[16])
     {
       int i;
       uint32 x[16];
       for (i = 0;i < 16;++i) x[i] = in[i];
       for (i = 20;i > 0;i -= 2) { // 20輪計算
         x[ 4] ^= R(x[ 0]+x[12], 7);  x[ 8] ^= R(x[ 4]+x[ 0], 9);
         x[12] ^= R(x[ 8]+x[ 4],13);  x[ 0] ^= R(x[12]+x[ 8],18);
         x[ 9] ^= R(x[ 5]+x[ 1], 7);  x[13] ^= R(x[ 9]+x[ 5], 9);
         x[ 1] ^= R(x[13]+x[ 9],13);  x[ 5] ^= R(x[ 1]+x[13],18);
         x[14] ^= R(x[10]+x[ 6], 7);  x[ 2] ^= R(x[14]+x[10], 9);
         x[ 6] ^= R(x[ 2]+x[14],13);  x[10] ^= R(x[ 6]+x[ 2],18);
         x[ 3] ^= R(x[15]+x[11], 7);  x[ 7] ^= R(x[ 3]+x[15], 9);
         x[11] ^= R(x[ 7]+x[ 3],13);  x[15] ^= R(x[11]+x[ 7],18);
         x[ 1] ^= R(x[ 0]+x[ 3], 7);  x[ 2] ^= R(x[ 1]+x[ 0], 9);
         x[ 3] ^= R(x[ 2]+x[ 1],13);  x[ 0] ^= R(x[ 3]+x[ 2],18);
         x[ 6] ^= R(x[ 5]+x[ 4], 7);  x[ 7] ^= R(x[ 6]+x[ 5], 9);
         x[ 4] ^= R(x[ 7]+x[ 6],13);  x[ 5] ^= R(x[ 4]+x[ 7],18);
         x[11] ^= R(x[10]+x[ 9], 7);  x[ 8] ^= R(x[11]+x[10], 9);
         x[ 9] ^= R(x[ 8]+x[11],13);  x[10] ^= R(x[ 9]+x[ 8],18);
         x[12] ^= R(x[15]+x[14], 7);  x[13] ^= R(x[12]+x[15], 9);
         x[14] ^= R(x[13]+x[12],13);  x[15] ^= R(x[14]+x[13],18);
       }
       for (i = 0;i < 16;++i) out[i] = x[i] + in[i]; // 輸入矩陣經過20輪的計算結果和原始矩陣相加得到最終輸出
     }

Output

每一次核函式運算,都能夠通過key、nonce、block-counter生成64位元組的輸出block,經過多次輸入和核函式運算,將每一次的生成結果拼接最終組成長度為2^70的位元組流

加解密操作

得到隨機位元組流之後,Salsa演算法的加解密操作極其簡單。

  • 加密操作
    當加密長度為b位元組的明文資料時,通過將明文資料和隨機位元組流的前b個位元組進行異或運算得到密文。
  • 解密操作
    當解密長度為b位元組的資料時,通過將密文和b位元組的位元組流進行異或運算得到明文。

參考

https://cr.yp.to/salsa20.html
https://cr.yp.to/snuffle/salsafamily-20071225.pdf

相關文章