Sử dụng Chaskey làm mật mã luồng

Chế độ CTR ban đầu được thiết kế cho PRF.

• Quyền riêng tư và xác thực: Giới thiệu về mật mã như một bài báo được mời trên Kỷ yếu của IEEE, 67 (1979), trang 397–427.

Bất kỳ PRF nào^* có thể được chuyển thành mật mã dòng với chế độ CTR.Tuy nhiên, không nên sử dụng một hàm nặng được xây dựng cho MAC để sử dụng làm mật mã luồng. Sử dụng ChaCha cho mật mã dòng được tạo từ PRF hoặc sử dụng mật mã dòng trực tiếp như Trivium.

Nếu bạn thực sự muốn sử dụng thì hãy sử dụng đầu vào như $$F_k(\text{nonce_block}\mathbin\|\text{counter_block})$$ dưới dạng chế độ CTR và mã hóa dưới dạng

$$c_i = m_i \oplus F_k(\text{nonce_block}\mathbin\|\text{counter_i})$$

Đảm bảo rằng

• $\text{counter_i}$ không bao giờ vượt quá kích thước của $\text{counter_block}$,
• không bao giờ trở lại trạng thái ban đầu nếu bộ đếm đạt đến mức tối đa $2^{\text{counter_block_size}}-1$
• không phức tạp với việc nối lại bộ đếm cho mã hóa khác.
• Dưới đây, mới hơn let an $(IV,khóa)$ lại xuất hiện ở đâu $IV = (\text{nonce_block}\mathbin\|\text{counter_i})$

^* Trên thực tế, bất kỳ là không đủ cho mật mã, kích thước khóa và kích thước đầu vào và đầu ra mới là quan trọng. Ngày nay, chúng tôi thích xChaCha20 hơn vì nó cho phép các nonce 192-bit để tránh xung đột nonce dưới cùng một khóa và có kích thước đầu vào/đầu ra 512-bit. Bảo mật 128 bit của Chaskey là đủ cho mật mã nhẹ, tuy nhiên, đối với các mục đích khác, nó không đủ an toàn.