Salsa20算法介绍

简介

Salsa20是一种流式对称加密算法，类似于Chacha20，算法性能相比AES能够快3倍以上。

Salsa20算法通过将32 Byte的key和8 Byte的随机数nonce扩展为2^70 Byte的随机字节流，通过随机字节流和异或操作实现加解密，因此Salsa20算法中随机字节流的生成为关键所在。

随机字节流生成

Salsa20算法生成随机字节流时，一次生成一个64字节的block，每一个block是通过将key、nonce和block number以及部分常量组成64字节的input，通过核函数，输出64字节的output。最终多个block组成长度为2^70的随机字节流，在生成过程中，每个block相互独立。

Input

64字节的input分为16个word，每个word为4字节，由以下8部分组成：

• 4字节的常量0x61707865
• key的前16字节
• 4字节的常量0x3320646e
• 8字节的随机数nonce
• 8字节的block-counter
• 4字节的常量0x79622d32
• key的剩余16字节
• 4字节的常量0x6b206574

最终64字节（16 words）组成一个4*4的矩阵。例如，对于key (1, 2, 3, 4, 5, . . . , 32), nonce

(3, 1, 4, 1, 5, 9, 2, 6), 以及 block 7的初始矩阵为:

0x61707865, 0x04030201, 0x08070605, 0x0c0b0a09,
0x100f0e0d, 0x3320646e, 0x01040103, 0x06020905,
0x00000007, 0x00000000, 0x79622d32, 0x14131211,
0x18171615, 0x1c1b1a19, 0x201f1e1d, 0x6b206574.

核函数

Salsa20算法核函数将64字节的输入以矩阵形式作为参数，输出64字节的运算结果.

Salsa20核函数运算主要包括的运算如下，其中a和b皆为32bit（4 Byte）的数据：

• 32 bit模加：(a + b) mod 2^32，
• 异或：a XOR b
• 左移：a <<< b，其中b为常量，在Salsa20算法中左移的值为7、9、13、18

针对输入矩阵中的每个word，执行20轮的如下操作：

b ⊕= (a ⊞ c) <<< k，其中⊕为异或，⊞模加，<<<为左移。

经过20轮计算后，将输出的矩阵核原始矩阵相加，得到输出。

Salsa20核函数具体实现如下：

     #define R(a,b) (((a) << (b)) | ((a) >> (32 - (b))))
     void salsa20_word_specification(uint32 out[16],uint32 in[16])
     {
       int i;
       uint32 x[16];
       for (i = 0;i < 16;++i) x[i] = in[i];
       for (i = 20;i > 0;i -= 2) { // 20轮计算
         x[ 4] ^= R(x[ 0]+x[12], 7);  x[ 8] ^= R(x[ 4]+x[ 0], 9);
         x[12] ^= R(x[ 8]+x[ 4],13);  x[ 0] ^= R(x[12]+x[ 8],18);
         x[ 9] ^= R(x[ 5]+x[ 1], 7);  x[13] ^= R(x[ 9]+x[ 5], 9);
         x[ 1] ^= R(x[13]+x[ 9],13);  x[ 5] ^= R(x[ 1]+x[13],18);
         x[14] ^= R(x[10]+x[ 6], 7);  x[ 2] ^= R(x[14]+x[10], 9);
         x[ 6] ^= R(x[ 2]+x[14],13);  x[10] ^= R(x[ 6]+x[ 2],18);
         x[ 3] ^= R(x[15]+x[11], 7);  x[ 7] ^= R(x[ 3]+x[15], 9);
         x[11] ^= R(x[ 7]+x[ 3],13);  x[15] ^= R(x[11]+x[ 7],18);
         x[ 1] ^= R(x[ 0]+x[ 3], 7);  x[ 2] ^= R(x[ 1]+x[ 0], 9);
         x[ 3] ^= R(x[ 2]+x[ 1],13);  x[ 0] ^= R(x[ 3]+x[ 2],18);
         x[ 6] ^= R(x[ 5]+x[ 4], 7);  x[ 7] ^= R(x[ 6]+x[ 5], 9);
         x[ 4] ^= R(x[ 7]+x[ 6],13);  x[ 5] ^= R(x[ 4]+x[ 7],18);
         x[11] ^= R(x[10]+x[ 9], 7);  x[ 8] ^= R(x[11]+x[10], 9);
         x[ 9] ^= R(x[ 8]+x[11],13);  x[10] ^= R(x[ 9]+x[ 8],18);
         x[12] ^= R(x[15]+x[14], 7);  x[13] ^= R(x[12]+x[15], 9);
         x[14] ^= R(x[13]+x[12],13);  x[15] ^= R(x[14]+x[13],18);
       }
       for (i = 0;i < 16;++i) out[i] = x[i] + in[i]; // 输入矩阵经过20轮的计算结果和原始矩阵相加得到最终输出
     }

Output

每一次核函数运算，都能够通过key、nonce、block-counter生成64字节的输出block，经过多次输入和核函数运算，将每一次的生成结果拼接最终组成长度为2^70的字节流

加解密操作

得到随机字节流之后，Salsa算法的加解密操作极其简单。

• 加密操作
  
  当加密长度为b字节的明文数据时，通过将明文数据和随机字节流的前b个字节进行异或运算得到密文。
• 解密操作
  
  当解密长度为b字节的数据时，通过将密文和b字节的字节流进行异或运算得到明文。

参考

https://cr.yp.to/salsa20.html

https://cr.yp.to/snuffle/salsafamily-20071225.pdf