Branch data Line data Source code
1 : : // Copyright (c) 2017-2022 The Bitcoin Core developers
2 : : // Distributed under the MIT software license, see the accompanying
3 : : // file COPYING or http://www.opensource.org/licenses/mit-license.php.
4 : :
5 : : // Based on the public domain implementation 'merged' by D. J. Bernstein
6 : : // See https://cr.yp.to/chacha.html.
7 : :
8 : : #include <crypto/common.h>
9 : : #include <crypto/chacha20.h>
10 : : #include <support/cleanse.h>
11 : : #include <span.h>
12 : :
13 : : #include <algorithm>
14 : : #include <bit>
15 : : #include <string.h>
16 : :
17 : : #define QUARTERROUND(a,b,c,d) \
18 : : a += b; d = std::rotl(d ^ a, 16); \
19 : : c += d; b = std::rotl(b ^ c, 12); \
20 : : a += b; d = std::rotl(d ^ a, 8); \
21 : : c += d; b = std::rotl(b ^ c, 7);
22 : :
23 : : #define REPEAT10(a) do { {a}; {a}; {a}; {a}; {a}; {a}; {a}; {a}; {a}; {a}; } while(0)
24 : :
25 : 5246604 : void ChaCha20Aligned::SetKey(Span<const std::byte> key) noexcept
26 : : {
27 [ - + ]: 5246604 : assert(key.size() == KEYLEN);
28 : 5246604 : input[0] = ReadLE32(UCharCast(key.data() + 0));
29 : 5246604 : input[1] = ReadLE32(UCharCast(key.data() + 4));
30 : 5246604 : input[2] = ReadLE32(UCharCast(key.data() + 8));
31 : 5246604 : input[3] = ReadLE32(UCharCast(key.data() + 12));
32 : 5246604 : input[4] = ReadLE32(UCharCast(key.data() + 16));
33 : 5246604 : input[5] = ReadLE32(UCharCast(key.data() + 20));
34 : 5246604 : input[6] = ReadLE32(UCharCast(key.data() + 24));
35 : 5246604 : input[7] = ReadLE32(UCharCast(key.data() + 28));
36 : 5246604 : input[8] = 0;
37 : 5246604 : input[9] = 0;
38 : 5246604 : input[10] = 0;
39 : 5246604 : input[11] = 0;
40 : 5246604 : }
41 : :
42 : 2979052 : ChaCha20Aligned::~ChaCha20Aligned()
43 : : {
44 : 2979052 : memory_cleanse(input, sizeof(input));
45 : 2979052 : }
46 : :
47 : 2979050 : ChaCha20Aligned::ChaCha20Aligned(Span<const std::byte> key) noexcept
48 : : {
49 : 2979050 : SetKey(key);
50 : 2979050 : }
51 : :
52 : 2103744 : void ChaCha20Aligned::Seek(Nonce96 nonce, uint32_t block_counter) noexcept
53 : : {
54 : 2103744 : input[8] = block_counter;
55 : 2103744 : input[9] = nonce.first;
56 : 2103744 : input[10] = nonce.second;
57 : 2103744 : input[11] = nonce.second >> 32;
58 : 2103744 : }
59 : :
60 : 8558039 : inline void ChaCha20Aligned::Keystream(Span<std::byte> output) noexcept
61 : : {
62 [ - + ]: 8558039 : unsigned char* c = UCharCast(output.data());
63 [ - + ]: 8558039 : size_t blocks = output.size() / BLOCKLEN;
64 [ - + ]: 8558039 : assert(blocks * BLOCKLEN == output.size());
65 : :
66 : 8558039 : uint32_t x0, x1, x2, x3, x4, x5, x6, x7, x8, x9, x10, x11, x12, x13, x14, x15;
67 : 8558039 : uint32_t j4, j5, j6, j7, j8, j9, j10, j11, j12, j13, j14, j15;
68 : :
69 [ + - ]: 8558039 : if (!blocks) return;
70 : :
71 : 8558039 : j4 = input[0];
72 : 8558039 : j5 = input[1];
73 : 8558039 : j6 = input[2];
74 : 8558039 : j7 = input[3];
75 : 8558039 : j8 = input[4];
76 : 8558039 : j9 = input[5];
77 : 8558039 : j10 = input[6];
78 : 8558039 : j11 = input[7];
79 : 8558039 : j12 = input[8];
80 : 8558039 : j13 = input[9];
81 : 8558039 : j14 = input[10];
82 : 8558039 : j15 = input[11];
83 : :
84 : 13720153 : for (;;) {
85 : 11139096 : x0 = 0x61707865;
86 : 11139096 : x1 = 0x3320646e;
87 : 11139096 : x2 = 0x79622d32;
88 : 11139096 : x3 = 0x6b206574;
89 : 11139096 : x4 = j4;
90 : 11139096 : x5 = j5;
91 : 11139096 : x6 = j6;
92 : 11139096 : x7 = j7;
93 : 11139096 : x8 = j8;
94 : 11139096 : x9 = j9;
95 : 11139096 : x10 = j10;
96 : 11139096 : x11 = j11;
97 : 11139096 : x12 = j12;
98 : 11139096 : x13 = j13;
99 : 11139096 : x14 = j14;
100 : 11139096 : x15 = j15;
101 : :
102 : : // The 20 inner ChaCha20 rounds are unrolled here for performance.
103 [ + + ]: 11139096 : REPEAT10(
104 : : QUARTERROUND( x0, x4, x8,x12);
105 : : QUARTERROUND( x1, x5, x9,x13);
106 : : QUARTERROUND( x2, x6,x10,x14);
107 : : QUARTERROUND( x3, x7,x11,x15);
108 : : QUARTERROUND( x0, x5,x10,x15);
109 : : QUARTERROUND( x1, x6,x11,x12);
110 : : QUARTERROUND( x2, x7, x8,x13);
111 : : QUARTERROUND( x3, x4, x9,x14);
112 : : );
113 : :
114 : 11139096 : x0 += 0x61707865;
115 : 11139096 : x1 += 0x3320646e;
116 : 11139096 : x2 += 0x79622d32;
117 : 11139096 : x3 += 0x6b206574;
118 : 11139096 : x4 += j4;
119 : 11139096 : x5 += j5;
120 : 11139096 : x6 += j6;
121 : 11139096 : x7 += j7;
122 : 11139096 : x8 += j8;
123 : 11139096 : x9 += j9;
124 : 11139096 : x10 += j10;
125 : 11139096 : x11 += j11;
126 : 11139096 : x12 += j12;
127 : 11139096 : x13 += j13;
128 : 11139096 : x14 += j14;
129 : 11139096 : x15 += j15;
130 : :
131 : 11139096 : ++j12;
132 [ + + ]: 11139096 : if (!j12) ++j13;
133 : :
134 : 11139096 : WriteLE32(c + 0, x0);
135 : 11139096 : WriteLE32(c + 4, x1);
136 : 11139096 : WriteLE32(c + 8, x2);
137 : 11139096 : WriteLE32(c + 12, x3);
138 : 11139096 : WriteLE32(c + 16, x4);
139 : 11139096 : WriteLE32(c + 20, x5);
140 : 11139096 : WriteLE32(c + 24, x6);
141 : 11139096 : WriteLE32(c + 28, x7);
142 : 11139096 : WriteLE32(c + 32, x8);
143 : 11139096 : WriteLE32(c + 36, x9);
144 : 11139096 : WriteLE32(c + 40, x10);
145 : 11139096 : WriteLE32(c + 44, x11);
146 : 11139096 : WriteLE32(c + 48, x12);
147 : 11139096 : WriteLE32(c + 52, x13);
148 : 11139096 : WriteLE32(c + 56, x14);
149 : 11139096 : WriteLE32(c + 60, x15);
150 : :
151 [ + + ]: 11139096 : if (blocks == 1) {
152 : 8558039 : input[8] = j12;
153 : 8558039 : input[9] = j13;
154 : 8558039 : return;
155 : : }
156 : 2581057 : blocks -= 1;
157 : 2581057 : c += BLOCKLEN;
158 : : }
159 : : }
160 : :
161 : 99099 : inline void ChaCha20Aligned::Crypt(Span<const std::byte> in_bytes, Span<std::byte> out_bytes) noexcept
162 : : {
163 [ - + ]: 99099 : assert(in_bytes.size() == out_bytes.size());
164 [ - + ]: 99099 : const unsigned char* m = UCharCast(in_bytes.data());
165 : 99099 : unsigned char* c = UCharCast(out_bytes.data());
166 : 99099 : size_t blocks = out_bytes.size() / BLOCKLEN;
167 [ - + ]: 99099 : assert(blocks * BLOCKLEN == out_bytes.size());
168 : :
169 : 99099 : uint32_t x0, x1, x2, x3, x4, x5, x6, x7, x8, x9, x10, x11, x12, x13, x14, x15;
170 : 99099 : uint32_t j4, j5, j6, j7, j8, j9, j10, j11, j12, j13, j14, j15;
171 : :
172 [ + - ]: 99099 : if (!blocks) return;
173 : :
174 : 99099 : j4 = input[0];
175 : 99099 : j5 = input[1];
176 : 99099 : j6 = input[2];
177 : 99099 : j7 = input[3];
178 : 99099 : j8 = input[4];
179 : 99099 : j9 = input[5];
180 : 99099 : j10 = input[6];
181 : 99099 : j11 = input[7];
182 : 99099 : j12 = input[8];
183 : 99099 : j13 = input[9];
184 : 99099 : j14 = input[10];
185 : 99099 : j15 = input[11];
186 : :
187 : 10654285 : for (;;) {
188 : 5376692 : x0 = 0x61707865;
189 : 5376692 : x1 = 0x3320646e;
190 : 5376692 : x2 = 0x79622d32;
191 : 5376692 : x3 = 0x6b206574;
192 : 5376692 : x4 = j4;
193 : 5376692 : x5 = j5;
194 : 5376692 : x6 = j6;
195 : 5376692 : x7 = j7;
196 : 5376692 : x8 = j8;
197 : 5376692 : x9 = j9;
198 : 5376692 : x10 = j10;
199 : 5376692 : x11 = j11;
200 : 5376692 : x12 = j12;
201 : 5376692 : x13 = j13;
202 : 5376692 : x14 = j14;
203 : 5376692 : x15 = j15;
204 : :
205 : : // The 20 inner ChaCha20 rounds are unrolled here for performance.
206 [ - + ]: 5376692 : REPEAT10(
207 : : QUARTERROUND( x0, x4, x8,x12);
208 : : QUARTERROUND( x1, x5, x9,x13);
209 : : QUARTERROUND( x2, x6,x10,x14);
210 : : QUARTERROUND( x3, x7,x11,x15);
211 : : QUARTERROUND( x0, x5,x10,x15);
212 : : QUARTERROUND( x1, x6,x11,x12);
213 : : QUARTERROUND( x2, x7, x8,x13);
214 : : QUARTERROUND( x3, x4, x9,x14);
215 : : );
216 : :
217 : 5376692 : x0 += 0x61707865;
218 : 5376692 : x1 += 0x3320646e;
219 : 5376692 : x2 += 0x79622d32;
220 : 5376692 : x3 += 0x6b206574;
221 : 5376692 : x4 += j4;
222 : 5376692 : x5 += j5;
223 : 5376692 : x6 += j6;
224 : 5376692 : x7 += j7;
225 : 5376692 : x8 += j8;
226 : 5376692 : x9 += j9;
227 : 5376692 : x10 += j10;
228 : 5376692 : x11 += j11;
229 : 5376692 : x12 += j12;
230 : 5376692 : x13 += j13;
231 : 5376692 : x14 += j14;
232 : 5376692 : x15 += j15;
233 : :
234 [ - + ]: 5376692 : x0 ^= ReadLE32(m + 0);
235 : 5376692 : x1 ^= ReadLE32(m + 4);
236 : 5376692 : x2 ^= ReadLE32(m + 8);
237 : 5376692 : x3 ^= ReadLE32(m + 12);
238 : 5376692 : x4 ^= ReadLE32(m + 16);
239 : 5376692 : x5 ^= ReadLE32(m + 20);
240 : 5376692 : x6 ^= ReadLE32(m + 24);
241 : 5376692 : x7 ^= ReadLE32(m + 28);
242 : 5376692 : x8 ^= ReadLE32(m + 32);
243 : 5376692 : x9 ^= ReadLE32(m + 36);
244 : 5376692 : x10 ^= ReadLE32(m + 40);
245 : 5376692 : x11 ^= ReadLE32(m + 44);
246 : 5376692 : x12 ^= ReadLE32(m + 48);
247 : 5376692 : x13 ^= ReadLE32(m + 52);
248 : 5376692 : x14 ^= ReadLE32(m + 56);
249 : 5376692 : x15 ^= ReadLE32(m + 60);
250 : :
251 : 5376692 : ++j12;
252 [ - + ]: 5376692 : if (!j12) ++j13;
253 : :
254 : 5376692 : WriteLE32(c + 0, x0);
255 : 5376692 : WriteLE32(c + 4, x1);
256 : 5376692 : WriteLE32(c + 8, x2);
257 : 5376692 : WriteLE32(c + 12, x3);
258 : 5376692 : WriteLE32(c + 16, x4);
259 : 5376692 : WriteLE32(c + 20, x5);
260 : 5376692 : WriteLE32(c + 24, x6);
261 : 5376692 : WriteLE32(c + 28, x7);
262 : 5376692 : WriteLE32(c + 32, x8);
263 : 5376692 : WriteLE32(c + 36, x9);
264 : 5376692 : WriteLE32(c + 40, x10);
265 : 5376692 : WriteLE32(c + 44, x11);
266 : 5376692 : WriteLE32(c + 48, x12);
267 : 5376692 : WriteLE32(c + 52, x13);
268 : 5376692 : WriteLE32(c + 56, x14);
269 : 5376692 : WriteLE32(c + 60, x15);
270 : :
271 [ + + ]: 5376692 : if (blocks == 1) {
272 : 99099 : input[8] = j12;
273 : 99099 : input[9] = j13;
274 : 99099 : return;
275 : : }
276 : 5277593 : blocks -= 1;
277 : 5277593 : c += BLOCKLEN;
278 : 5277593 : m += BLOCKLEN;
279 : : }
280 : : }
281 : :
282 : 35295979 : void ChaCha20::Keystream(Span<std::byte> out) noexcept
283 : : {
284 [ + + ]: 35295979 : if (out.empty()) return;
285 [ + + ]: 35295732 : if (m_bufleft) {
286 [ + + ]: 27545965 : unsigned reuse = std::min<size_t>(m_bufleft, out.size());
287 : 27545965 : std::copy(m_buffer.end() - m_bufleft, m_buffer.end() - m_bufleft + reuse, out.begin());
288 : 27545965 : m_bufleft -= reuse;
289 : 27545965 : out = out.subspan(reuse);
290 : : }
291 [ + + ]: 35295732 : if (out.size() >= m_aligned.BLOCKLEN) {
292 : 1480910 : size_t blocks = out.size() / m_aligned.BLOCKLEN;
293 : 1480910 : m_aligned.Keystream(out.first(blocks * m_aligned.BLOCKLEN));
294 : 1480910 : out = out.subspan(blocks * m_aligned.BLOCKLEN);
295 : : }
296 [ + + ]: 35295732 : if (!out.empty()) {
297 : 6777668 : m_aligned.Keystream(m_buffer);
298 : 6777668 : std::copy(m_buffer.begin(), m_buffer.begin() + out.size(), out.begin());
299 : 6777668 : m_bufleft = m_aligned.BLOCKLEN - out.size();
300 : : }
301 : : }
302 : :
303 : 1768969 : void ChaCha20::Crypt(Span<const std::byte> input, Span<std::byte> output) noexcept
304 : : {
305 [ - + ]: 1768969 : assert(input.size() == output.size());
306 : :
307 [ + + ]: 1768969 : if (!input.size()) return;
308 [ + + ]: 514157 : if (m_bufleft) {
309 [ + + ]: 338485 : unsigned reuse = std::min<size_t>(m_bufleft, input.size());
310 [ + + ]: 8272222 : for (unsigned i = 0; i < reuse; i++) {
311 : 7933737 : output[i] = input[i] ^ m_buffer[m_aligned.BLOCKLEN - m_bufleft + i];
312 : : }
313 : 338485 : m_bufleft -= reuse;
314 : 338485 : output = output.subspan(reuse);
315 : 338485 : input = input.subspan(reuse);
316 : : }
317 [ + + ]: 514157 : if (input.size() >= m_aligned.BLOCKLEN) {
318 : 99099 : size_t blocks = input.size() / m_aligned.BLOCKLEN;
319 : 99099 : m_aligned.Crypt(input.first(blocks * m_aligned.BLOCKLEN), output.first(blocks * m_aligned.BLOCKLEN));
320 : 99099 : output = output.subspan(blocks * m_aligned.BLOCKLEN);
321 : 99099 : input = input.subspan(blocks * m_aligned.BLOCKLEN);
322 : : }
323 [ + + ]: 514157 : if (!input.empty()) {
324 : 287265 : m_aligned.Keystream(m_buffer);
325 [ + + ]: 3918297 : for (unsigned i = 0; i < input.size(); i++) {
326 : 3631032 : output[i] = input[i] ^ m_buffer[i];
327 : : }
328 : 287265 : m_bufleft = m_aligned.BLOCKLEN - input.size();
329 : : }
330 : : }
331 : :
332 : 2966856 : ChaCha20::~ChaCha20()
333 : : {
334 : 2966856 : memory_cleanse(m_buffer.data(), m_buffer.size());
335 : 2966856 : }
336 : :
337 : 2267554 : void ChaCha20::SetKey(Span<const std::byte> key) noexcept
338 : : {
339 : 2267554 : m_aligned.SetKey(key);
340 : 2267554 : m_bufleft = 0;
341 : 2267554 : memory_cleanse(m_buffer.data(), m_buffer.size());
342 : 2267554 : }
343 : :
344 : 873 : FSChaCha20::FSChaCha20(Span<const std::byte> key, uint32_t rekey_interval) noexcept :
345 : 873 : m_chacha20(key), m_rekey_interval(rekey_interval)
346 : : {
347 [ - + ]: 873 : assert(key.size() == KEYLEN);
348 : 873 : }
349 : :
350 : 220671 : void FSChaCha20::Crypt(Span<const std::byte> input, Span<std::byte> output) noexcept
351 : : {
352 [ - + ]: 220671 : assert(input.size() == output.size());
353 : :
354 : : // Invoke internal stream cipher for actual encryption/decryption.
355 : 220671 : m_chacha20.Crypt(input, output);
356 : :
357 : : // Rekey after m_rekey_interval encryptions/decryptions.
358 [ + + ]: 220671 : if (++m_chunk_counter == m_rekey_interval) {
359 : : // Get new key from the stream cipher.
360 : 854 : std::byte new_key[KEYLEN];
361 : 854 : m_chacha20.Keystream(new_key);
362 : : // Update its key.
363 : 854 : m_chacha20.SetKey(new_key);
364 : : // Wipe the key (a copy remains inside m_chacha20, where it'll be wiped on the next rekey
365 : : // or on destruction).
366 : 854 : memory_cleanse(new_key, sizeof(new_key));
367 : : // Set the nonce for the new section of output.
368 : 854 : m_chacha20.Seek({0, ++m_rekey_counter}, 0);
369 : : // Reset the chunk counter.
370 : 854 : m_chunk_counter = 0;
371 : : }
372 : 220671 : }
|
