libsodium：crypto_stream_xor 与 crypto

libsodium：crypto_stream_xor 与 crypto_secretbox

如果我正确阅读了crypto_stream_xor和crypto_secretbox的文档，那么这两个函数都使用 XSalsa20。前者没有任何身份验证，而后者有。根据这一点，我希望的前几个字节与的前几个字节crypto_secretbox相同，crypto_stream_xor但可惜它们不是。例如。

<?php

$a = sodium_crypto_secretbox('zzz', str_repeat('z', 24), str_repeat('z', 32));

echo bin2hex($a) . "\n";

$a = sodium_crypto_stream_xor('zzz', str_repeat('z', 24), str_repeat('z', 32));

echo bin2hex($a);

输出如下：

f575a1681d3ee38b0667690c2141f8af6c894d

4c832d

在线查看：https : //3v4l.org/rqhvJ

crypto_secretbox是（我假设）附加一个额外的 16 字节（128 位），这是 Poly1305 标签的长度。但是如果他们都使用 XSalsa20，我希望前三个字节至少相同，但他们不是。

有任何想法吗？

慕斯王

浏览 294回答 2

2回答

慕后森

crypto_secretbox()包含的认证标签存储在前 16 个字节中。此外，crypto_secretbox()正如 Squeamish Ossifrage 所指出的那样，流密码的前 32 个字节不会添加到密文中。它们用作 poly1305 密钥。

红糖糍粑

尝试$a = sodium_crypto_secretbox('zzz', str_repeat('z', 24), str_repeat('z', 32));echo bin2hex($a) . "\n";$a = sodium_crypto_stream_xor('00000000000000000000000000000000zzz', str_repeat('z', 24), str_repeat('z', 32));echo bin2hex($a) . "\n";反而。crypto_secretbox 使用 XSalsa20 生成的 pad 的前 32 个字节作为 Poly1305 验证器密钥。详细信息在NaCl 验证文件中给出。这也是为什么 NaCl C API 显然有每个人都讨厌的奇怪的零填充业务：期望调用者在密文缓冲区中为 32 字节的 Poly1305 验证器密钥提供临时存储。

随时随地看视频慕课网APP