Salsa20

Словом далі будемо називати елемент множини {0,1,...,2³²-1} і записувати його в шістнадцятковому вигляді з префіксом 0х.

Операцію додавання двох слів по модулю 2³² будемо позначати символом «${\displaystyle +}$».

Виключне або (побітове додавання) будемо позначати символом «${\displaystyle \oplus }$»

${\displaystyle c}$ -бітовий циклічний зсув вліво слова ${\displaystyle u}$, який будемо позначати ${\displaystyle u\lll c}$. Якщо ${\displaystyle u}$ представити як ${\displaystyle u=\sum _{i=0}2^{i}u_{i}}$, тоді

${\displaystyle u\lll c=\sum _{i=0}2^{i+c\mod 32}u_{i}}$

Основним блоком системи є перетворення над чотирма словами. З нього будуються далі описані більш загальні перетворення. Його суть полягає в тому, що для кожного слова ми складаємо два попередніх, зсуваємо (циклічно) суму на певну кількість біт і побітово підсумовуємо результат з вибраним словом. Подальші операції проводяться з новими значеннями слів.

Припустимо, що ${\displaystyle y}$ — послідовність слів 4 ${\displaystyle y=(y_{0},y_{1},y_{2},y_{3})}$. Тоді функція ${\displaystyle quarterround(y)=(z_{0},z_{1},z_{2},z_{3})}$ де

${\displaystyle z_{1}=y_{1}\oplus ((y_{0}+y_{3})\lll 7),}$

${\displaystyle z_{2}=y_{2}\oplus ((z_{1}+y_{0})\lll 9),}$

${\displaystyle z_{3}=y_{3}\oplus ((z_{2}+z_{1})\lll 13),}$

${\displaystyle z_{0}=y_{0}\oplus ((z_{3}+z_{2})\lll 18).}$

Наприклад:

quarterround(0x00000001; 0x00000000; 0x00000000; 0x00000000) = (0x08008145; 0x00000080; 0x00010200; 0x20500000)

Можна розглядати цю функцію перетворення слів y₀, y₁, y₂ y₃. Кожне з таких перетворень оборотне, як і функція в цілому.

${\displaystyle y={\begin{pmatrix}y_{0}&y_{1}&y_{2}&y_{3}\\y_{4}&y_{5}&y_{6}&y_{7}\\y_{8}&y_{9}&y_{10}&y_{11}\\y_{12}&y_{13}&y_{14}&y_{15}\end{pmatrix}}}$ В цьому перетворенні ми беремо 16 слів. Представимо їх у вигляді матриці 4х4. Беремо кожен рядок цієї матриці і перетворимо слова цієї матриці функцією ${\displaystyle quarterround(y)}$. Слова з рядка беруться за порядком, починаючи з i-го для i-го рядка, де i={0,1,2,3}.

Нехай ${\displaystyle y=(y_{0},y_{1},y_{2},...,y_{15})}$ — послідовність 16 слів, тоді ${\displaystyle rowround(y)=(z_{0},z_{1},z_{2},...,z_{15})}$ — також послідовність 16 слів де

${\displaystyle (z_{0},z_{1},z_{2},z_{3})=quarterround(y_{0},y_{1},y_{2},y_{3}),}$

${\displaystyle (z_{5},z_{6},z_{7},z_{4})=quarterround(y_{5},y_{6},y_{7},y_{4}),}$

${\displaystyle (z_{10},z_{11},z_{8},z_{9})=quarterround(y_{10},y_{11},y_{8},y_{9}),}$

${\displaystyle (z_{15},z_{12},z_{13},z_{14})=quarterround(y_{15},y_{12},y_{13},y_{14}).}$

Тут ми беремо стовпці такої ж матриці. Перетворимо їх функцією за аналогією підставляючи в неї значення, починаючи з j-го для j-го стовпця, де j={0,1,2,3}.

Функція columnround(y)=(z) теж оперує послідовністю 16 слів так, що

${\displaystyle (z_{0},z_{4},z_{8},z_{12})=quarterround(y_{0},y_{4},y_{8},y_{12}),}$

${\displaystyle (z_{5},z_{9},z_{13},z_{1})=quarterround(y_{5},y_{9},y_{13},y_{1}),}$

${\displaystyle (z_{10},z_{14},z_{2},z_{6})=quarterround(y_{10},y_{14},y_{2},y_{6}),}$

${\displaystyle (z_{15},z_{3},z_{7},z_{11})=quarterround(y_{15},y_{3},y_{7},y_{11}).}$

Функція doubleround(y) є послідовним застосуванням функцій columnround а потім rowround: doubleround(y) = rowround(columnround(y))

Даний алгоритм використовує запис слова, що починається з молодшого байта. Для цього тут введено перетворення

Нехай — 4-байтова послідовність, тоді — слово, таке, що

${\displaystyle littleendian(b)=b_{0}+2^{8}b_{1}+2^{16}b_{2}+2^{24}b_{3}}$

Підсумкове перетворення — це побітове додавання вихідної послідовності і результату 20 раундів почергових перетворень стовпців і рядків.

${\displaystyle Salsa20(x)=x\oplus doubleround^{10}(x)}$де ${\displaystyle x=(x[0],x[1],...,x[63]),}$

${\displaystyle x_{0}=littleendian(x[0],x[1],x[2],x[3]),}$

${\displaystyle x_{1}=littleendian(x[4],x[5],x[6],x[7]),}$

…

${\displaystyle x_{15}=littleendian(x[60],x[61],x[62],x[63]).}$

x[i] — байти x, а x_j — слова, які використовуються в описаних вище функціях.

Якщо ,

тоді Salsa20(x) є послідовністю результатів

Розширення перетворює 32-байтний або 16-байтний ключ k і 16-байтний номер n  в 64-байтну послідовність . Для розширення k використовуються константи

для 32-бітного k і

для 16-бітного k. Це записи «expand 32-byte k» і «expand 16-byte k» ASCII-коді.

Нехай k₀,k₁,n — 16-байтові послідовності, тоді .

Якщо у нас тільки одна 16-байтові послідовність k то

Шифром -байтної послідовності для буде — унікальний 8-байтовий номер (nonce). Шифротекст буде розміром в байт, так само, як вихідний текст.

Salsa20_k(v) — послідовність у 2⁷⁰ байт.

${\displaystyle Salsa20_{k}(v,{\underline {0}}),Salsa20_{k}(v,{\underline {1}}),Salsa20_{k}(v,{\underline {2}}),...,Salsa20_{k}(v,{\underline {2^{64}-1}})}$

Де — унікальна послідовність у 8 байт така що Відповідно

${\displaystyle Salsa20_{k}(v)\oplus (m[0],m[1],..,m[l-1])=(c[0],c[1],...,c[l-1])}$

Де ${\displaystyle c[i]=m[i]\oplus Salsa20_{k}(v,{\mathcal {b}}{\underline {i/64}}{\mathcal {c}})[i\mod 64]}$