Salsa20

Salsa20 (auch Snuffle 2005) ist eine Stromverschlüsselung, die 2005 von Daniel J. Bernstein entwickelt wurde. Im europäischen Projekt eSTREAM ist die auf 12 Runden reduzierte Version Salsa20/12 einer der Finalisten (Profil 1 – Software-Anwendungen).^[1] Salsa20 ist frei von Patenten.

Entstehung

Daniel J. Bernstein entwickelte Snuffle 2005 als Antwort auf die früheren Versuche der USA, kryptographische Publikationen zu beschränken. Von den Beschränkungen waren Hashfunktionen ausgenommen; mit Snuffle 2005 wurde gezeigt, dass eine starke Verschlüsselung auch mittels Hashfunktionen vorgenommen werden kann.^[2]

Varianten

Salsa20 Core ist der Kern verschiedener Hashfunktionen und Stromverschlüsselungen.

• Salsa20 oder Snuffle 2005 ist eine Familie von 256-Bit-Stromverschlüsselungen:^[3]
  • Salsa20/20 mit 20 Runden ist als Standard gedacht.
  • Salsa20/12 mit 12 Runden für zeitkritische Anwendungen war Finalist im eSTREAM-Projekt, einem europäischen Auswahlverfahren für Stromverschlüsselungen.
  • Salsa20/8 mit 8 Runden für zeitkritische Anwendungen wird in der Schlüsselableitungsfunktion scrypt benutzt.^[4]
• XSalsa20 ist eine Variante mit erweiterter Nonce (192 Bit statt 64 Bit).^[5]
• ChaCha

Salsa10^[6] ist der 2004 eingeführte Vorläufer von Salsa20.

Komponenten von Salsa20 werden auch in der Kompressionsfunktion Rumba20^[7] benutzt.

ChaCha-Variante

ChaCha (oder Snuffle 2008) ist eine Variante von Salsa20, die entwickelt wurde, um die Diffusion pro Runde bei gleichbleibender bis schnellerer Geschwindigkeit zu erhöhen. Der Zahlensuffix bei ChaCha entspricht der Rundenzahl, also entspricht ChaCha8 beispielsweise einem modifizierten Salsa20/8.^[8][9]

Analog zu XSalsa20 gibt es auch die XChaCha-Variante mit erweiterter Nonce.^[10]

ChaCha20-Poly1305 ist ein AEAD-Betriebsmodus, der auf ChaCha20 und der ebenfalls von Bernstein entwickelten Poly1305-Hashfunktion basiert. Es ist neben AES-GCM das einzige andere Verfahren das in TLS 1.3 angewendet wird.^[11]

ChaCha20 wird als kryptographisch sicherer Zufallszahlengenerator in Linux^[12], FreeBSD^[13], OpenBSD,^[14] NetBSD^[15] und DragonFly BSD^[16] verwendet. Die Programmiersprache Rust nutzt dafür ChaCha12^[17] und Go nutzt ChaCha8.^[18]

Außerdem basiert die Hashfunktion BLAKE auf ChaCha.^[19]

Design

Salsa20 beruht auf wenigen einfachen Operationen und ist damit ähnlich aufgebaut wie die Verschlüsselungsfunktionen XTEA und IDEA. Durch das konservative Design wird eine gute und konstante Software-Performance auf vielen CPUs und eine weitgehende Resistenz gegen einige Seitenkanalattacken (time-attacks) erreicht. Der Kern besteht aus einer Funktion, die Schlüssel, Nonce und Zähler auf einen 64-Byte-Block abbildet. Die Funktion besteht aus einer langen Verkettung von nur drei Operationen: 32-Bit-Addition, 32-Bit-XOR, 32-Bit-Rotation (mit konstanten Abständen). Für die Stromverschlüsselung wird das Ergebnis der Funktion im Counter Mode benutzt und mit dem Klartext exklusiv-Oder-verknüpft (XOR). Die empfohlene Schlüssellänge beträgt 256 Bit, kürzere Schlüssel sind jedoch möglich. Salsa20 hat eine kompakte Implementierung, ist schnell und Speicher-schonend.

Sicherheit

In einem neuen Verfahren, basierend auf den probabilistic neutral bits (PNBs), stellten Aumasson et al. 2008 einen Angriff auf Salsa20/7, Salsa20/8, ChaCha6, ChaCha7 und Rumba3 vor, in dem unter anderem Salsa20/7 (128-Bit-Schlüssel) mit einer Zeitkomplexität von 2¹¹¹, einer Datenkomplexität von 2²¹ und einer Erfolgsquote von 50 % gebrochen werden konnte.^[20] 2012 wurde dieser Angriff von Shi et al. noch einmal verbessert.^[21] Die besten Kryptoanalysen für die rundenreduzierten Varianten von Salsa20 und ChaCha sind demnach (Stand: September 2014):

• Salsa20/7 (128-Bit-Schlüssel): Zeitkomplexität 2¹⁰⁹, Platzkomplexität 2¹⁹. Zur Veranschaulichung: der Superrechner Roadrunner bräuchte ungefähr 20.580.831.662 Jahre dafür und müsste außerdem für frei gewählte Klartexte Zugang zu den entsprechenden Geheimtexten haben (Chosen-Plaintext-Attacke). Unberücksichtigt bleibt dabei jedoch die Möglichkeit der Parallelisierung; Daniel J. Bernstein, der Erfinder von Salsa20, hält daher 128-Bit-Schlüssel für „uncomfortably risky“ („beunruhigend riskant“).^[22]
• ChaCha6 (128-Bit-Schlüssel): Zeitkomplexität 2¹⁰⁵, Platzkomplexität 2²⁸.

Weblinks

• D. J. Bernsteins Seite zu Salsa20 (englisch)
• eSTREAM Portfolio zu Salsa20/12. ecrypt.eu.org (englisch).
• S. Josefsson: The Salsa20 Stream Cipher for Transport Layer Security. ietf.org (englisch).

Einzelnachweise

1. The eSTREAM Portfolio (PDF, 118 kB).
2. D. J. Bernstein: Snuffle 2005: the Salsa20 encryption function (PDF, 98 kB).
3. D. J. Bernstein: The Salsa20 family of stream ciphers (PDF, 176 kB).
4. Colin Percival: Stronger Key Derivation via Sequential Memory-Hard Functions (PDF, 207 kB).
5. D. J. Bernstein: Extending the Salsa20 nonce (PDF, 349 kB).
6. D. J. Bernstein The Salsa10 hash function.
7. D. J. Bernstein: The Rumba20 compression function (PDF, 168 kB).
8. D. J. Bernstein: ChaCha, a variant of Salsa20.
9. Daniel J. Bernstein: ChaCha, a variant of Salsa20. (PDF) In: Department of Mathematics, Statistics, and Computer Science. The University of Illinois at Chicago, abgerufen am 6. März 2024. 
10. Scott Arciszewski: XChaCha: eXtended-nonce ChaCha and AEAD_XChaCha20_Poly1305. draft-irtf-cfrg-xchacha-03. Internet Engineering Task Force, 10. Januar 2020 (ietf.org [abgerufen am 6. März 2024]). 
11. Eric Rescorla: RFC 8446 – The Transport Layer Security (TLS) Protocol Version 1.3. (englisch).
12. Replacing /dev/urandom. In: LWN.net. Abgerufen am 6. März 2024. 
13. [base] Revision 317015. In: FreeBSD. Abgerufen am 6. März 2024. 
14. Super User’s BSD Cross Reference: /OpenBSD/lib/libc/crypt/arc4random.c. In: bxr.su. Abgerufen am 6. März 2024. 
15. Super User’s BSD Cross Reference: /NetBSD/lib/libc/gen/arc4random.c. In: bxr.su. Abgerufen am 6. März 2024. 
16. Super User’s BSD Cross Reference: /DragonFly/sys/kern/subr_csprng.c. In: bxr.su. Abgerufen am 6. März 2024. 
17. rand_chacha: consider ChaCha12 (or possibly ChaCha8) over ChaCha20 · Issue #932 · rust-random/rand. In: github.com. Abgerufen am 6. März 2024 (englisch). 
18. rand package – math/rand/v2 – Go Packages. In: pkg.go.dev. Abgerufen am 6. März 2024. 
19. Jean-Philippe Aumasson: SHA-3 proposal BLAKE. In: 131002.net. 10. Juli 2019, archiviert vom Original (nicht mehr online verfügbar); abgerufen am 6. März 2024. 
20. Jean-Philippe Aumasson, Simon Fischer, Shahram Khazaei, Willi Meier, and Christian Rechberger: New Features of Latin Dances: Analysis of Salsa, ChaCha, and Rumba. Cryptology ePrint Archive, iacr.org, Report 2007/472 (englisch).
21. Zhenqing Shi, Bin Zhang, Dengguo Feng, Wenling Wu: Improved Key Recovery Attacks on Reduced-Round Salsa20 and ChaCha. In: Information Security and Cryptology – ICISC 2012. Springer Berlin Heidelberg 2013. ISBN 978-3-642-37681-8, S. 337–351.
22. Daniel J. Bernstein: Notes on the Salsa20 key size. (PDF, 32 kB) S. 2.