如何处理 AES CTR 的 IV/Nonce/Counter?

How to handle the IV/Nonce/Counter for AES CTR?

import javax.crypto.Cipher;

public abstract class Crypto {


    private static final String CIPHER_ALGORITHM = "AES/CTR/NoPadding";
    private String AesKeyString = "ByWelFHCgFqivFZrWs89LQ==";

    private void setKey() throws NoSuchAlgorithmException{
        byte[] keyBytes;
        keyBytes = Base64.getDecoder().decode(AesKeyString);
        aesKey = new SecretKeySpec(keyBytes, "AES");
    }

    protected byte[] execute(int mode, byte[] target, byte[] iv) 
            throws Exception{
        Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);
        IvParameterSpec ivSpec = new IvParameterSpec(iv);
        cipher.init(mode, aesKey, ivSpec);
        return cipher.doFinal(target);
    }

}

根据NIST Recommendation - 附录 B,有两种构造初始计数器块的有效方法(AES 是 128 位块密码):

  1. 128 位随机数与 m 位计数器值(通常为 32 位)异或。
  2. 64 位随机数附加到 64 位计数器。

我的问题是:

Java 只是让您选择构建计数器的方式。您只需要使用 16 字节的 IV 初始化 CTR 模式,它只不过是初始计数器值。

一旦您开始加密,它将在整个 128 位上使用一个计数器。话又说回来,您几乎不希望它重新开始,因为这会直接危及明文的安全性。缺点是不直接支持 32 位 XOR 方法(如果您从 FFFFFFFF 的计数器开始,下一个值将改变计数器的第 33 个最低有效位)。

话又说回来,我宁愿选择一个 8 字节的随机数并将最低有效位设置为全零。或者当然选择GCM模式。


证明:

Cipher aesCTR = Cipher.getInstance("AES/CTR/NoPadding");
SecretKey aesKey = new SecretKeySpec(new byte[16], "AES");
IvParameterSpec lastIV = new IvParameterSpec(Hex.decode("FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF"));
aesCTR.init(Cipher.ENCRYPT_MODE, aesKey, lastIV);
byte[] twoBlocks = aesCTR.doFinal(new byte[2 * aesCTR.getBlockSize()]);
byte[] secondBlock = Arrays.copyOfRange(twoBlocks, 16, 32);
System.out.printf("%s%n", Hex.toHexString(secondBlock));

IvParameterSpec firstIV = new IvParameterSpec(new byte[16]); // all zero IV
aesCTR.init(Cipher.ENCRYPT_MODE, aesKey, firstIV);
byte[] oneBlock = aesCTR.doFinal(new byte[aesCTR.getBlockSize()]);
System.out.printf("%s%n", Hex.toHexString(oneBlock));

输出:

66e94bd4ef8a2c3b884cfa59ca342b2e
66e94bd4ef8a2c3b884cfa59ca342b2e