XChaCha20比ChaCha20强吗？

Question

一些加密的信使应用程序和密码管理器使用伯恩斯坦密码的扩展版本，有些则不使用。

Viber-Salsa20

线材-Wire 20

Threema-XSalsa20

Sid-Salsa20

诺德帕斯-XChaCha20

Keepass-ChaCha20

为什么？更大的现在是否使扩展版本更安全？如果这就是为什么他们中的一些人不使用扩展的呢？或者我们可以说扩展版本和非扩展版本具有相同的安全级别吗？

Answer 1

唯一的区别是，XChaCha使用的是一个192位的现在，而不是64位的现在。这使您可以使用随机的现在，而不必担心的风险，现在重用，这使得选择大大方便和安全。密码的核心(公共置换)不变。

XChaCha构建在HChaCha之上：

XChaCha20可以从现有的ChaCha20实现和HChaCha20构建。我们所需要做的就是：

1. 将密钥和24字节的前16个字节传递给HChaCha20以获得子键。
2. 使用子键和剩下的8字节(以ChaCha20为正常值)(前缀为4个NUL字节，因为RFC8439指定了一个12字节的值)。

HChaCha是对ChaCha的一个小改动：

HChaCha20的初始化方式与ChaCha密码相同，但HChaCha20使用128位的nonce，并且没有计数器。相反，将块计数器替换为当前的前32位。

原始ChaCha使用64位的nonce和64位的计数器.IETF ChaCha使用一个96位的nonce和一个32位的计数器(较大的nonce使得它可以在TLS中随机生成，而较小的计数器是可以接受的，因为TLS记录是KiB 16限制为)。XChaCha在这两个词中都占优势，它有一个192位的现在和一个64位的计数器。它的设计与XSalsa20相同，但有ChaCha内核。由于核心只是一个公共置换，XSalsa20的安全性证明适用于XChaCha。