<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Dec 4, 2017 at 10:54 AM, Jason Cooper <span dir="ltr"><<a href="mailto:cryptography@lakedaemon.net" target="_blank">cryptography@lakedaemon.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">While digging into libsodium [1] (An ISC licensed chacha20-poly1305 AEAD<br>
crypto library), I found they recently added support for<br>
chacha20-poly1305-ietf and xchacha20-poly1305-ietf.  The difference<br>
between the original and these two new ones being nonce size.<br></blockquote><div><br></div><div>XChaCha20 uses the HChaCha20 function to hash the longer nonce in the same manner as XSalsa20.</div><div><br></div><div>This is somewhat unique to libsodium, although easily added to any other library that has ChaCha20/HChaCha20.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
1) Has anyone seen a formal specification of XChaCha20 anywhere?<br>
<br>
2) Has anyone seen a formal security analysis of XChaCha20, akin to<br>
   DJB's analysis in the XSalsa20 paper?<br></blockquote><div><br></div><div>No</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">3) If neither the specification or the analysis exist, would it be worth<br>
   the effort to draft up an RFC?<br></blockquote><div><br></div><div>Sure. why not. It would be nice if there were only one version of XChaCha20, and people don't invent a separate incompatible XChaCha20 based on the original djb version of ChaCha20. That said, I think that may have already happened.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Regardless, I'm a bit confused since libsodium chose to name it<br>
xchacha20-poly1305-ietf.  Which, to me, implies that it has been<br>
specified by the IETF somewhere and at least formally reviewed...</blockquote><div><br></div><div>This is to indicate it's using the IETF version of ChaCha20 (as opposed to the original djb version), and NOT that it has been specified by the IETF.</div></div><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Tony Arcieri<br></div>
</div></div>