Branch data Line data Source code
1 : : /*
2 : : chacha-merged.c version 20080118
3 : : D. J. Bernstein
4 : : Public domain.
5 : : */
6 : :
7 : : #include "includes.h"
8 : :
9 : : #include "chacha.h"
10 : :
11 : : /* $OpenBSD: chacha.c,v 1.1 2013/11/21 00:45:44 djm Exp $ */
12 : :
13 : : typedef unsigned char u8;
14 : : typedef unsigned int u32;
15 : :
16 : : typedef struct chacha_ctx chacha_ctx;
17 : :
18 : : #define U8C(v) (v##U)
19 : : #define U32C(v) (v##U)
20 : :
21 : : #define U8V(v) ((u8)(v) & U8C(0xFF))
22 : : #define U32V(v) ((u32)(v) & U32C(0xFFFFFFFF))
23 : :
24 : : #define ROTL32(v, n) \
25 : : (U32V((v) << (n)) | ((v) >> (32 - (n))))
26 : :
27 : : #define U8TO32_LITTLE(p) \
28 : : (((u32)((p)[0]) ) | \
29 : : ((u32)((p)[1]) << 8) | \
30 : : ((u32)((p)[2]) << 16) | \
31 : : ((u32)((p)[3]) << 24))
32 : :
33 : : #define U32TO8_LITTLE(p, v) \
34 : : do { \
35 : : (p)[0] = U8V((v) ); \
36 : : (p)[1] = U8V((v) >> 8); \
37 : : (p)[2] = U8V((v) >> 16); \
38 : : (p)[3] = U8V((v) >> 24); \
39 : : } while (0)
40 : :
41 : : #define ROTATE(v,c) (ROTL32(v,c))
42 : : #define XOR(v,w) ((v) ^ (w))
43 : : #define PLUS(v,w) (U32V((v) + (w)))
44 : : #define PLUSONE(v) (PLUS((v),1))
45 : :
46 : : #define QUARTERROUND(a,b,c,d) \
47 : : a = PLUS(a,b); d = ROTATE(XOR(d,a),16); \
48 : : c = PLUS(c,d); b = ROTATE(XOR(b,c),12); \
49 : : a = PLUS(a,b); d = ROTATE(XOR(d,a), 8); \
50 : : c = PLUS(c,d); b = ROTATE(XOR(b,c), 7);
51 : :
52 : : static const char sigma[16] = "expand 32-byte k";
53 : : static const char tau[16] = "expand 16-byte k";
54 : :
55 : : void
56 : 292 : chacha_keysetup(chacha_ctx *x,const u8 *k,u32 kbits)
57 : : {
58 : : const char *constants;
59 : :
60 : 292 : x->input[4] = U8TO32_LITTLE(k + 0);
61 : 292 : x->input[5] = U8TO32_LITTLE(k + 4);
62 : 292 : x->input[6] = U8TO32_LITTLE(k + 8);
63 : 292 : x->input[7] = U8TO32_LITTLE(k + 12);
64 [ + - ]: 292 : if (kbits == 256) { /* recommended */
65 : 292 : k += 16;
66 : 292 : constants = sigma;
67 : : } else { /* kbits == 128 */
68 : : constants = tau;
69 : : }
70 : 292 : x->input[8] = U8TO32_LITTLE(k + 0);
71 : 292 : x->input[9] = U8TO32_LITTLE(k + 4);
72 : 292 : x->input[10] = U8TO32_LITTLE(k + 8);
73 : 292 : x->input[11] = U8TO32_LITTLE(k + 12);
74 : 292 : x->input[0] = U8TO32_LITTLE(constants + 0);
75 : 292 : x->input[1] = U8TO32_LITTLE(constants + 4);
76 : 292 : x->input[2] = U8TO32_LITTLE(constants + 8);
77 : 292 : x->input[3] = U8TO32_LITTLE(constants + 12);
78 : 292 : }
79 : :
80 : : void
81 : 3836 : chacha_ivsetup(chacha_ctx *x, const u8 *iv, const u8 *counter)
82 : : {
83 [ + + ]: 3836 : x->input[12] = counter == NULL ? 0 : U8TO32_LITTLE(counter + 0);
84 [ + + ]: 3836 : x->input[13] = counter == NULL ? 0 : U8TO32_LITTLE(counter + 4);
85 : 3836 : x->input[14] = U8TO32_LITTLE(iv + 0);
86 : 3836 : x->input[15] = U8TO32_LITTLE(iv + 4);
87 : 3836 : }
88 : :
89 : : void
90 : 3836 : chacha_encrypt_bytes(chacha_ctx *x,const u8 *m,u8 *c,u32 bytes)
91 : : {
92 : : u32 x0, x1, x2, x3, x4, x5, x6, x7, x8, x9, x10, x11, x12, x13, x14, x15;
93 : : u32 j0, j1, j2, j3, j4, j5, j6, j7, j8, j9, j10, j11, j12, j13, j14, j15;
94 : 3836 : u8 *ctarget = NULL;
95 : : u8 tmp[64];
96 : : u_int i;
97 : :
98 [ + - ]: 3836 : if (!bytes) return;
99 : :
100 : 3836 : j0 = x->input[0];
101 : 3836 : j1 = x->input[1];
102 : 3836 : j2 = x->input[2];
103 : 3836 : j3 = x->input[3];
104 : 3836 : j4 = x->input[4];
105 : 3836 : j5 = x->input[5];
106 : 3836 : j6 = x->input[6];
107 : 3836 : j7 = x->input[7];
108 : 3836 : j8 = x->input[8];
109 : 3836 : j9 = x->input[9];
110 : 3836 : j10 = x->input[10];
111 : 3836 : j11 = x->input[11];
112 : 3836 : j12 = x->input[12];
113 : 3836 : j13 = x->input[13];
114 : 3836 : j14 = x->input[14];
115 : 3836 : j15 = x->input[15];
116 : :
117 : : for (;;) {
118 [ + + ]: 189848 : if (bytes < 64) {
119 [ + + ]: 69042 : for (i = 0;i < bytes;++i) tmp[i] = m[i];
120 : : m = tmp;
121 : : ctarget = c;
122 : : c = tmp;
123 : : }
124 : 189848 : x0 = j0;
125 : 189848 : x1 = j1;
126 : 189848 : x2 = j2;
127 : 189848 : x3 = j3;
128 : 189848 : x4 = j4;
129 : 189848 : x5 = j5;
130 : 189848 : x6 = j6;
131 : 189848 : x7 = j7;
132 : 189848 : x8 = j8;
133 : 189848 : x9 = j9;
134 : 189848 : x10 = j10;
135 : 189848 : x11 = j11;
136 : 189848 : x12 = j12;
137 : 189848 : x13 = j13;
138 : 189848 : x14 = j14;
139 : 189848 : x15 = j15;
140 [ + + ]: 2088328 : for (i = 20;i > 0;i -= 2) {
141 : 1898480 : QUARTERROUND( x0, x4, x8,x12)
142 : 1898480 : QUARTERROUND( x1, x5, x9,x13)
143 : 1898480 : QUARTERROUND( x2, x6,x10,x14)
144 : 1898480 : QUARTERROUND( x3, x7,x11,x15)
145 : 1898480 : QUARTERROUND( x0, x5,x10,x15)
146 : 1898480 : QUARTERROUND( x1, x6,x11,x12)
147 : 1898480 : QUARTERROUND( x2, x7, x8,x13)
148 : 1898480 : QUARTERROUND( x3, x4, x9,x14)
149 : : }
150 : 189848 : x0 = PLUS(x0,j0);
151 : 189848 : x1 = PLUS(x1,j1);
152 : 189848 : x2 = PLUS(x2,j2);
153 : 189848 : x3 = PLUS(x3,j3);
154 : 189848 : x4 = PLUS(x4,j4);
155 : 189848 : x5 = PLUS(x5,j5);
156 : 189848 : x6 = PLUS(x6,j6);
157 : 189848 : x7 = PLUS(x7,j7);
158 : 189848 : x8 = PLUS(x8,j8);
159 : 189848 : x9 = PLUS(x9,j9);
160 : 189848 : x10 = PLUS(x10,j10);
161 : 189848 : x11 = PLUS(x11,j11);
162 : 189848 : x12 = PLUS(x12,j12);
163 : 189848 : x13 = PLUS(x13,j13);
164 : 189848 : x14 = PLUS(x14,j14);
165 : 189848 : x15 = PLUS(x15,j15);
166 : :
167 : 189848 : x0 = XOR(x0,U8TO32_LITTLE(m + 0));
168 : 189848 : x1 = XOR(x1,U8TO32_LITTLE(m + 4));
169 : 189848 : x2 = XOR(x2,U8TO32_LITTLE(m + 8));
170 : 189848 : x3 = XOR(x3,U8TO32_LITTLE(m + 12));
171 : 189848 : x4 = XOR(x4,U8TO32_LITTLE(m + 16));
172 : 189848 : x5 = XOR(x5,U8TO32_LITTLE(m + 20));
173 : 189848 : x6 = XOR(x6,U8TO32_LITTLE(m + 24));
174 : 189848 : x7 = XOR(x7,U8TO32_LITTLE(m + 28));
175 : 189848 : x8 = XOR(x8,U8TO32_LITTLE(m + 32));
176 : 189848 : x9 = XOR(x9,U8TO32_LITTLE(m + 36));
177 : 189848 : x10 = XOR(x10,U8TO32_LITTLE(m + 40));
178 : 189848 : x11 = XOR(x11,U8TO32_LITTLE(m + 44));
179 : 189848 : x12 = XOR(x12,U8TO32_LITTLE(m + 48));
180 : 189848 : x13 = XOR(x13,U8TO32_LITTLE(m + 52));
181 : 189848 : x14 = XOR(x14,U8TO32_LITTLE(m + 56));
182 : 189848 : x15 = XOR(x15,U8TO32_LITTLE(m + 60));
183 : :
184 : 189848 : j12 = PLUSONE(j12);
185 [ - + ]: 189848 : if (!j12) {
186 : 0 : j13 = PLUSONE(j13);
187 : : /* stopping at 2^70 bytes per nonce is user's responsibility */
188 : : }
189 : :
190 : 189848 : U32TO8_LITTLE(c + 0,x0);
191 : 189848 : U32TO8_LITTLE(c + 4,x1);
192 : 189848 : U32TO8_LITTLE(c + 8,x2);
193 : 189848 : U32TO8_LITTLE(c + 12,x3);
194 : 189848 : U32TO8_LITTLE(c + 16,x4);
195 : 189848 : U32TO8_LITTLE(c + 20,x5);
196 : 189848 : U32TO8_LITTLE(c + 24,x6);
197 : 189848 : U32TO8_LITTLE(c + 28,x7);
198 : 189848 : U32TO8_LITTLE(c + 32,x8);
199 : 189848 : U32TO8_LITTLE(c + 36,x9);
200 : 189848 : U32TO8_LITTLE(c + 40,x10);
201 : 189848 : U32TO8_LITTLE(c + 44,x11);
202 : 189848 : U32TO8_LITTLE(c + 48,x12);
203 : 189848 : U32TO8_LITTLE(c + 52,x13);
204 : 189848 : U32TO8_LITTLE(c + 56,x14);
205 : 189848 : U32TO8_LITTLE(c + 60,x15);
206 : :
207 [ + + ]: 189848 : if (bytes <= 64) {
208 [ + + ]: 3836 : if (bytes < 64) {
209 [ + + ]: 69042 : for (i = 0;i < bytes;++i) ctarget[i] = c[i];
210 : : }
211 : 3836 : x->input[12] = j12;
212 : 3836 : x->input[13] = j13;
213 : 3836 : return;
214 : : }
215 : 186012 : bytes -= 64;
216 : 186012 : c += 64;
217 : 186012 : m += 64;
218 : 186012 : }
219 : : }
|
