ChaCha20 + ECC的最小开销

Question

我们想要什么？

在曲线25519 (混合密码学)上用ChaCha20 + ECC加密明文，结果是数据结构X。

输入:曲线25519上的公钥

不需要认证(不需要认证)

与明文相比，产生数据结构X的最小存储额头是什么？所需的步骤是什么，X的元素是什么。

生成的数据结构X只需要相应的私钥即可解密。

如果我们要进一步削减储备量，代价是安全性(将曲线曲线25519改为其他东西？)想法？)

Answer 1

32字节(标记为+16)

让data作为您的数据，让||表示连接，并让pkD表示“数据的公钥”(即确切有32个字节的Curve25519公钥)，tag是Poly-1305身份验证标记(16字节长)。

因为pkD和tag的大小是固定的，所以您不需要对它们的长度进行编码，您可以将其存储为pkD||data||tag。为了解码，您只需获取前32个字节作为数据的公钥，最后16个字节作为身份验证标记。

加密应该是这样的：

1. 对接收者的公钥运行标准Diffie-Hellman密钥协议。您通常通过线路发送的公钥是pkD，并将存储以进行解密。
2. 将共享秘密输入到基于密钥的密钥派生函数中，以获得IV、对称密码的密钥和MAC的密钥。
3. 使用对称密钥材料对数据进行加密，并附加身份验证标记。
4. 删除所有键和数据。

如果不担心攻击者可以在目标攻击中以比特级的准确性翻转位(也就是说，他可以修改任何已知的明文密文对来表示他想说的话)，那么您可以省略身份验证算法和MAC标记。