Branch data Line data Source code
1 : : // SPDX-License-Identifier: GPL-2.0-or-later
2 : : /*
3 : : * The "hash function" used as the core of the ChaCha stream cipher (RFC7539)
4 : : *
5 : : * Copyright (C) 2015 Martin Willi
6 : : */
7 : :
8 : : #include <linux/bug.h>
9 : : #include <linux/kernel.h>
10 : : #include <linux/export.h>
11 : : #include <linux/bitops.h>
12 : : #include <linux/string.h>
13 : : #include <linux/cryptohash.h>
14 : : #include <asm/unaligned.h>
15 : : #include <crypto/chacha.h>
16 : :
17 : 310903 : static void chacha_permute(u32 *x, int nrounds)
18 : : {
19 : 310903 : int i;
20 : :
21 : : /* whitelist the allowed round counts */
22 [ - + ]: 310903 : WARN_ON_ONCE(nrounds != 20 && nrounds != 12);
23 : :
24 [ + + ]: 3419933 : for (i = 0; i < nrounds; i += 2) {
25 : 3109030 : x[0] += x[4]; x[12] = rol32(x[12] ^ x[0], 16);
26 : 3109030 : x[1] += x[5]; x[13] = rol32(x[13] ^ x[1], 16);
27 : 3109030 : x[2] += x[6]; x[14] = rol32(x[14] ^ x[2], 16);
28 : 3109030 : x[3] += x[7]; x[15] = rol32(x[15] ^ x[3], 16);
29 : :
30 : 3109030 : x[8] += x[12]; x[4] = rol32(x[4] ^ x[8], 12);
31 : 3109030 : x[9] += x[13]; x[5] = rol32(x[5] ^ x[9], 12);
32 : 3109030 : x[10] += x[14]; x[6] = rol32(x[6] ^ x[10], 12);
33 : 3109030 : x[11] += x[15]; x[7] = rol32(x[7] ^ x[11], 12);
34 : :
35 : 3109030 : x[0] += x[4]; x[12] = rol32(x[12] ^ x[0], 8);
36 : 3109030 : x[1] += x[5]; x[13] = rol32(x[13] ^ x[1], 8);
37 : 3109030 : x[2] += x[6]; x[14] = rol32(x[14] ^ x[2], 8);
38 : 3109030 : x[3] += x[7]; x[15] = rol32(x[15] ^ x[3], 8);
39 : :
40 : 3109030 : x[8] += x[12]; x[4] = rol32(x[4] ^ x[8], 7);
41 : 3109030 : x[9] += x[13]; x[5] = rol32(x[5] ^ x[9], 7);
42 : 3109030 : x[10] += x[14]; x[6] = rol32(x[6] ^ x[10], 7);
43 : 3109030 : x[11] += x[15]; x[7] = rol32(x[7] ^ x[11], 7);
44 : :
45 : 3109030 : x[0] += x[5]; x[15] = rol32(x[15] ^ x[0], 16);
46 : 3109030 : x[1] += x[6]; x[12] = rol32(x[12] ^ x[1], 16);
47 : 3109030 : x[2] += x[7]; x[13] = rol32(x[13] ^ x[2], 16);
48 : 3109030 : x[3] += x[4]; x[14] = rol32(x[14] ^ x[3], 16);
49 : :
50 : 3109030 : x[10] += x[15]; x[5] = rol32(x[5] ^ x[10], 12);
51 : 3109030 : x[11] += x[12]; x[6] = rol32(x[6] ^ x[11], 12);
52 : 3109030 : x[8] += x[13]; x[7] = rol32(x[7] ^ x[8], 12);
53 : 3109030 : x[9] += x[14]; x[4] = rol32(x[4] ^ x[9], 12);
54 : :
55 : 3109030 : x[0] += x[5]; x[15] = rol32(x[15] ^ x[0], 8);
56 : 3109030 : x[1] += x[6]; x[12] = rol32(x[12] ^ x[1], 8);
57 : 3109030 : x[2] += x[7]; x[13] = rol32(x[13] ^ x[2], 8);
58 : 3109030 : x[3] += x[4]; x[14] = rol32(x[14] ^ x[3], 8);
59 : :
60 : 3109030 : x[10] += x[15]; x[5] = rol32(x[5] ^ x[10], 7);
61 : 3109030 : x[11] += x[12]; x[6] = rol32(x[6] ^ x[11], 7);
62 : 3109030 : x[8] += x[13]; x[7] = rol32(x[7] ^ x[8], 7);
63 : 3109030 : x[9] += x[14]; x[4] = rol32(x[4] ^ x[9], 7);
64 : : }
65 : 310903 : }
66 : :
67 : : /**
68 : : * chacha_block - generate one keystream block and increment block counter
69 : : * @state: input state matrix (16 32-bit words)
70 : : * @stream: output keystream block (64 bytes)
71 : : * @nrounds: number of rounds (20 or 12; 20 is recommended)
72 : : *
73 : : * This is the ChaCha core, a function from 64-byte strings to 64-byte strings.
74 : : * The caller has already converted the endianness of the input. This function
75 : : * also handles incrementing the block counter in the input matrix.
76 : : */
77 : 310903 : void chacha_block_generic(u32 *state, u8 *stream, int nrounds)
78 : : {
79 : 310903 : u32 x[16];
80 : 310903 : int i;
81 : :
82 : 310903 : memcpy(x, state, 64);
83 : :
84 : 310903 : chacha_permute(x, nrounds);
85 : :
86 [ + + ]: 5596254 : for (i = 0; i < ARRAY_SIZE(x); i++)
87 : 4974448 : put_unaligned_le32(x[i] + state[i], &stream[i * sizeof(u32)]);
88 : :
89 : 310903 : state[12]++;
90 : 310903 : }
91 : : EXPORT_SYMBOL(chacha_block_generic);
92 : :
93 : : /**
94 : : * hchacha_block_generic - abbreviated ChaCha core, for XChaCha
95 : : * @state: input state matrix (16 32-bit words)
96 : : * @out: output (8 32-bit words)
97 : : * @nrounds: number of rounds (20 or 12; 20 is recommended)
98 : : *
99 : : * HChaCha is the ChaCha equivalent of HSalsa and is an intermediate step
100 : : * towards XChaCha (see https://cr.yp.to/snuffle/xsalsa-20081128.pdf). HChaCha
101 : : * skips the final addition of the initial state, and outputs only certain words
102 : : * of the state. It should not be used for streaming directly.
103 : : */
104 : 0 : void hchacha_block_generic(const u32 *state, u32 *stream, int nrounds)
105 : : {
106 : 0 : u32 x[16];
107 : :
108 : 0 : memcpy(x, state, 64);
109 : :
110 : 0 : chacha_permute(x, nrounds);
111 : :
112 : 0 : memcpy(&stream[0], &x[0], 16);
113 : 0 : memcpy(&stream[4], &x[12], 16);
114 : 0 : }
115 : : EXPORT_SYMBOL(hchacha_block_generic);
|