libsodium:crypto_stream_xor 对比 crypto_secretbox
libsodium: crypto_stream_xor vs crypto_secretbox
如果我正确阅读了 crypto_stream_xor and crypto_secretbox 的文档,那么这两个函数都使用 XSalsa20。前者没有任何身份验证,而后者有。据此,我希望 crypto_secretbox 的前几个字节与 crypto_stream_xor 的前几个字节相同,但可惜它们不是。例如
<?php
<span class="math-container">$a = sodium_crypto_secretbox('zzz', str_repeat('z', 24), str_repeat('z', 32));
echo bin2hex($</span>a) . "\n";
<span class="math-container">$a = sodium_crypto_stream_xor('zzz', str_repeat('z', 24), str_repeat('z', 32));
echo bin2hex($</span>a);
输出结果如下:
f575a1681d3ee38b0667690c2141f8af6c894d
4c832d
crypto_secretbox 是(我假设)附加 16 个字节(128 位),这是 Poly1305 标签的长度。但是,如果他们都使用 XSalsa20,我希望前三个字节至少相同,但事实并非如此。
有什么想法吗?
尝试
$a = sodium_crypto_secretbox('zzz', str_repeat('z', 24), str_repeat('z', 32));
echo bin2hex($a) . "\n";
$a = sodium_crypto_stream_xor('00000000000000000000000000000000zzz', str_repeat('z', 24), str_repeat('z', 32));
echo bin2hex($a) . "\n";
相反。
crypto_secretbox 使用 XSalsa20 生成的 pad 的前 32 个字节作为 Poly1305 验证器密钥。 NaCl validation document 中给出了详细信息。这也是为什么 NaCl C API 有明显奇怪的 zero-padding 业务,每个人都讨厌:调用者应该在密文缓冲区中为 32 字节的 Poly1305 验证器密钥提供临时存储。
crypto_secretbox() 包含的身份验证标记存储在前 16 个字节中。
此外,对于 crypto_secretbox(),正如 Squeamish Ossifrage 所指出的,流密码的前 32 个字节未添加到密文中。它们用作 poly1305 密钥。
如果我正确阅读了 crypto_stream_xor and crypto_secretbox 的文档,那么这两个函数都使用 XSalsa20。前者没有任何身份验证,而后者有。据此,我希望 crypto_secretbox 的前几个字节与 crypto_stream_xor 的前几个字节相同,但可惜它们不是。例如
<?php
<span class="math-container">$a = sodium_crypto_secretbox('zzz', str_repeat('z', 24), str_repeat('z', 32));
echo bin2hex($</span>a) . "\n";
<span class="math-container">$a = sodium_crypto_stream_xor('zzz', str_repeat('z', 24), str_repeat('z', 32));
echo bin2hex($</span>a);
输出结果如下:
f575a1681d3ee38b0667690c2141f8af6c894d
4c832d
crypto_secretbox 是(我假设)附加 16 个字节(128 位),这是 Poly1305 标签的长度。但是,如果他们都使用 XSalsa20,我希望前三个字节至少相同,但事实并非如此。
有什么想法吗?
尝试
$a = sodium_crypto_secretbox('zzz', str_repeat('z', 24), str_repeat('z', 32));
echo bin2hex($a) . "\n";
$a = sodium_crypto_stream_xor('00000000000000000000000000000000zzz', str_repeat('z', 24), str_repeat('z', 32));
echo bin2hex($a) . "\n";
相反。
crypto_secretbox 使用 XSalsa20 生成的 pad 的前 32 个字节作为 Poly1305 验证器密钥。 NaCl validation document 中给出了详细信息。这也是为什么 NaCl C API 有明显奇怪的 zero-padding 业务,每个人都讨厌:调用者应该在密文缓冲区中为 32 字节的 Poly1305 验证器密钥提供临时存储。
crypto_secretbox() 包含的身份验证标记存储在前 16 个字节中。
此外,对于 crypto_secretbox(),正如 Squeamish Ossifrage 所指出的,流密码的前 32 个字节未添加到密文中。它们用作 poly1305 密钥。