1 简介

• 为什么要有 chacha20

ChaCha20 在 Go crypto/x 中的设计逻辑。

ChaCha20 是 Daniel J. Bernstein 设计的流加密算法，目标非常明确：

    软件友好（不依赖 AES-NI）

    高速

    常数时间实现（抗侧信道攻击）

    实现简单、易审计

• Go 官方 crypto 设计理念是：

安全优先 + 实现可验证 + API 不容易被误用

所以 x/crypto/chacha20 的定位是：

低层加密原语

提供 纯 ChaCha20（不带认证）

给更高层（如 chacha20poly1305）打基础

2 库的整体结构与实现思路

核心结构：Cipher

      type Cipher struct {
          state [16]uint32
          buf   [64]byte
          off   int
      }

state 的含义（ChaCha20 标准）：

  index   		内容
  0–3 		常量 "expand 32-byte k"
  4–11    	256-bit key
  12  		counter
  13–15   nonce

state 就是 ChaCha20 的 512-bit 内部状态

• 2 初始化逻辑

    	func NewUnauthenticatedCipher(key, nonce []byte) (*Cipher, error)
  

key：32 字节

nonce：12 字节

counter：从 0 开始

Go 明确拒绝：

错误长度 key

错误长度 nonce

这一步已经体现 Go crypto 的设计哲学：

		“不帮你猜，不容忍模糊用法”

• 加密的核心：XORKeyStream

    	func (c *Cipher) XORKeyStream(dst, src []byte)
  

本质上做三件事：

    生成 64 字节 keystream block

    与明文 XOR

    counter++

ChaCha20 是 流加密：

		ciphertext = plaintext XOR keystream

解密也是同一个函数（再 XOR 一次）

3 核心实现原理（简化说明）

ChaCha20 Block Function（20 轮）

每一轮由 Quarter Round 组成：

a += b; d ^= a; d <<<= 16
c += d; b ^= c; b <<<= 12
a += b; d ^= a; d <<<= 8
c += d; b ^= c; b <<<= 7

Go 实现：

使用 uint32

使用 bits.RotateLeft32

不使用分支（constant-time）

非常接近论文描述，可读性强

4 最基本的 ChaCha20 加解密示例

• 示例 1：正确使用 ChaCha20

    package main
  
    import (
        "crypto/rand"
        "fmt"
        "golang.org/x/crypto/chacha20"
    )
  
    func main() {
        key := make([]byte, 32)
        nonce := make([]byte, 12)
  
        rand.Read(key)
        rand.Read(nonce)
  
        plaintext := []byte("Hello ChaCha20")
  
        c, _ := chacha20.NewUnauthenticatedCipher(key, nonce)
  
        ciphertext := make([]byte, len(plaintext))
        c.XORKeyStream(ciphertext, plaintext)
  
        // 解密
        c2, _ := chacha20.NewUnauthenticatedCipher(key, nonce)
        decrypted := make([]byte, len(ciphertext))
        c2.XORKeyStream(decrypted, ciphertext)
  
        fmt.Println(string(decrypted))
    }
  

输出：

		Hello ChaCha20

5 该实现方式的优点

• 1. API 简单，不容易出错

明确 key / nonce 长度

不允许隐式 IV

不隐藏 counter

• 2. 性能稳定

在 无 AES-NI 的 CPU 上快于 AES

移动端 / IoT 非常适合

• 3. 抗侧信道攻击

无 lookup table

无 data-dependent branch

• 4. 代码可审计

接近论文

少量核心函数

6 如何用 ChaCha20 实现「一次一密」

重要澄清

ChaCha20 ≠ 理论上的 OTP（One-Time Pad）

但可以做到：

		“一次一 nonce，一次一 keystream”

在现代密码学中，这已经是工程上可接受的「一次一密」

方案 1：每条消息使用随机 nonce（推荐）

    nonce := make([]byte, 12)
    rand.Read(nonce)

保证：

(key, nonce) 永不重复

• nonce 可以明文传输

方案 2：counter + message ID（流式通信）

    nonce = session_nonce
    counter = message_index

适用于：

QUIC

TLS

长连接

错误示例（绝对禁止）

重用 nonce

		nonce := make([]byte, 12)

否则：

C1 XOR C2 = P1 XOR P2

明文直接泄露结构信息

• 为什么官方更推荐 chacha20poly1305

因为：

ChaCha20 不提供认证

易受 bit-flip 攻击

推荐用：

		golang.org/x/crypto/chacha20poly1305

它提供：

加密

完整性

抗重放

7 小结

x/crypto/chacha20 是一个低层、可审计、性能稳定、抗侧信道的流加密实现，
通过严格的 key / nonce 约束，引导开发者安全地实现“工程级一次一密”。