XSalsa20Poly1305 để mã hóa khi nghỉ ngơi

Trong khi bạn không đề cập đến nguồn, ở đây một. Trên thực tế, gia đình XSalsa được mô tả trong bài báo của Bernstein;

• 2011, Mở rộng Salsa20 nonce, D.J.B.

Có phải "X" trong XSalsa20Poly1305 chỉ có nghĩa là một nonce 192 bit không?

Có, điều đó có nghĩa là kích thước nonce của XSalsa là 192-bit trong khi Salsa có 64-bit. Điều này lớn đến mức ngay cả đối với các nonce ngẫu nhiên, người ta phải tạo $2^{96}$ nonce thống nhất để xảy ra va chạm với xác suất 50%. Điều này rất quan trọng trong các khóa dài hạn. Nếu một cặp (key,nonce) được khởi động lại thì tính bí mật sẽ bị mất. 192-bit ngăn chặn điều này. Đây là một sự kiện gần như không bao giờ xảy ra đối với Mật mã học.

Có lợi thế đáng kể nào khi sử dụng XSalsa20Poly1305 không?

• Một trong những rõ ràng là nonces dài.
• một cái khác là Poly1305 là trình xác thực tốt hơn GCM.
• Nó có hiệu suất CPU rất tốt nhờ thiết kế ARX, đánh bại AES trong CPU thô và thậm chí nó có thể cạnh tranh với AES-NI.

so sánh OpenSSL (ChaCha không phải Salsa);

Ngoài ra, lưu ý rằng trong bài báo Bernstein đã cung cấp bằng chứng bảo mật; nếu Salsa20 an toàn thì XSalsa cũng vậy.

Người ta đã chứng minh rằng 15 vòng của Salsa20 an toàn trước các cuộc tấn công khác biệt.

• 2013, Mouha và Preneel, Hướng tới việc tìm kiếm các đặc điểm khác biệt tối ưu cho ARX: Ứng dụng cho Salsa20

Lưu ý rằng có một biến thể mới của gia đình Salsa; gia đình Cha Cha. Gia đình ChaCha nhằm mục đích tăng độ khuếch tán mỗi vòng với tốc độ gần như giống nhau. Họ ChaCha được điều chỉnh nhiều hơn họ Salsa, TLS 1.3 sử dụng ChaCha20-Pol1305.

ChaCha20 cũng có XChaCha20-Poly1305 (dự thảo ietf) sử dụng cùng kích thước nonce 192-bit. Tốt hơn là XSalsa20-Poly1305. Lưu ý rằng họ ChaCha ít được nghiên cứu hơn họ Salsa do Salsa được đại diện trong dự án eSTREAM.

Ưu tiên XChaCha20-Poly1305 nếu có thể.

Lưu ý rằng Mã hóa được xác thực là bắt buộc khi truyền, dữ liệu được khuyến khích cho phần còn lại.