为 AES-CTR 模式正确使用随机数和计数器
Using the nonce and counter correctly for AES-CTR mode
我知道在 AES 计数器模式下我需要使用 128 位随机数。这样做的天真方法是使用随机的 128 位随机数,但我不确定如果它作为所有随机位传递,算法是否能够正确地增加计数器。我认为正确的方法是使用 96 位随机数和从 0 开始的 32 位计数器,例如:
var key = CryptoJS.enc.Hex.parse('01ab23cd45ef67089a1b2c3d4e5f6a7b'); // 128 bits / 16 bytes
var nonce = '2301cd4ef785690a1b2c3dab'; // 96 bits / 12 bytes
var counter = '00000000'; // 32 bits / 4 bytes
var nonceAndCounter = nonce + counter;
nonceAndCounter = CryptoJS.enc.Hex.parse(nonceAndCounter);
var plaintext = 'The quick brown fox jumps over the lazy dog.';
var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonceAndCounter, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });
var ciphertext = encryption.ciphertext.toString(CryptoJS.enc.Hex);
这是使用 CryptoJS library 的正确方法吗?或者正确的做法是什么?
我将在深入研究库代码以查看其实际作用时回答我自己的问题。
总结:
答案是您可以使用两种方法中的任何一种,它会按预期工作:
1) 传入长度为 96 位的随机随机数,库本身将自动添加 32 位计数器,并在生成的每个密钥流块中递增它。例如。
var nonce = CryptoJS.enc.Hex.parse('2301cd4ef785690a1b2c3dab'); // 12 Bytes
var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonce, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });
2) 传入一个长度为 96 位的随机数,如果需要,还可以显式指定 32 位计数器。如果你想从第 9 个块开始 encrypting/decrypting,你甚至可以指定一个像 00000009 这样的计数器。以下是从计数器 0 开始的示例:
var nonce = '2301cd4ef785690a1b2c3dab'; // 12 Bytes
var counter = '00000000'; // 4 Bytes, start at counter 0
var nonceAndCounter = CryptoJS.enc.Hex.parse(nonce + counter); // 16 Bytes
var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonceAndCounter, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });
解释:
使用32位计数器00000000问题中的代码,相关代码在这个文件mode-ctr.js:
/**
* Counter block mode.
*/
CryptoJS.mode.CTR = (function () {
var CTR = CryptoJS.lib.BlockCipherMode.extend();
var Encryptor = CTR.Encryptor = CTR.extend({
processBlock: function (words, offset) {
// Shortcuts
var cipher = this._cipher
var blockSize = cipher.blockSize;
var iv = this._iv;
var counter = this._counter;
// Generate keystream
if (iv) {
counter = this._counter = iv.slice(0);
// Remove IV for subsequent blocks
this._iv = undefined;
}
var keystream = counter.slice(0);
cipher.encryptBlock(keystream, 0);
// Increment counter
counter[blockSize - 1] = (counter[blockSize - 1] + 1) | 0
// Encrypt
for (var i = 0; i < blockSize; i++) {
words[offset + i] ^= keystream[i];
}
}
});
CTR.Decryptor = Encryptor;
return CTR;
}());
当运行此代码在浏览器JS调试器中使用断点时,它会将nonceAndCounter转换为由32位元素组成的WordArray:
[587320654, -142251766, 455884203, 0]
这用于加密块。为了加密下一个块,它运行以下行:
counter[blockSize - 1] = (counter[blockSize - 1] + 1) | 0
计算结果为 counter[3] 元素,即整数 0 并将其递增为:
[587320654, -142251766, 455884203, 1]
对于后续的块和随机数,我可以看到...
[587320654, -142251766, 455884203, 2]
[587320654, -142251766, 455884203, 3]
[587320654, -142251766, 455884203, 4]
等等。所以它似乎以这种方式正常工作。
将此与传递 128 位随机数时的工作方式进行对比,例如
var nonceAndCounter = CryptoJS.enc.Hex.parse('2301cd4ef785690a1b2c3dabdf99a9b3');
这会产生一个随机数:
[587320654, -142251766, 455884203, -543577677, 0]
所以它创建了 5 个数组元素!?然后函数将第四个元素从 -543577677 递增到 -543577676,然后是 -543577675,然后是 -543577674,依此类推。所以它在某种程度上仍然有效,但不会像从 0 开始那样递增,而且可能更容易出错。
当我只传入一个 96 位随机数时,库会自动将起始计数器作为 0 添加到计数器数组的末尾,并为后续块正确递增它。例如
[587320654, -142251766, 455884203, 0]
[587320654, -142251766, 455884203, 1]
[587320654, -142251766, 455884203, 2]
我知道在 AES 计数器模式下我需要使用 128 位随机数。这样做的天真方法是使用随机的 128 位随机数,但我不确定如果它作为所有随机位传递,算法是否能够正确地增加计数器。我认为正确的方法是使用 96 位随机数和从 0 开始的 32 位计数器,例如:
var key = CryptoJS.enc.Hex.parse('01ab23cd45ef67089a1b2c3d4e5f6a7b'); // 128 bits / 16 bytes
var nonce = '2301cd4ef785690a1b2c3dab'; // 96 bits / 12 bytes
var counter = '00000000'; // 32 bits / 4 bytes
var nonceAndCounter = nonce + counter;
nonceAndCounter = CryptoJS.enc.Hex.parse(nonceAndCounter);
var plaintext = 'The quick brown fox jumps over the lazy dog.';
var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonceAndCounter, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });
var ciphertext = encryption.ciphertext.toString(CryptoJS.enc.Hex);
这是使用 CryptoJS library 的正确方法吗?或者正确的做法是什么?
我将在深入研究库代码以查看其实际作用时回答我自己的问题。
总结:
答案是您可以使用两种方法中的任何一种,它会按预期工作:
1) 传入长度为 96 位的随机随机数,库本身将自动添加 32 位计数器,并在生成的每个密钥流块中递增它。例如。
var nonce = CryptoJS.enc.Hex.parse('2301cd4ef785690a1b2c3dab'); // 12 Bytes
var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonce, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });
2) 传入一个长度为 96 位的随机数,如果需要,还可以显式指定 32 位计数器。如果你想从第 9 个块开始 encrypting/decrypting,你甚至可以指定一个像 00000009 这样的计数器。以下是从计数器 0 开始的示例:
var nonce = '2301cd4ef785690a1b2c3dab'; // 12 Bytes
var counter = '00000000'; // 4 Bytes, start at counter 0
var nonceAndCounter = CryptoJS.enc.Hex.parse(nonce + counter); // 16 Bytes
var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonceAndCounter, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });
解释:
使用32位计数器00000000问题中的代码,相关代码在这个文件mode-ctr.js:
/**
* Counter block mode.
*/
CryptoJS.mode.CTR = (function () {
var CTR = CryptoJS.lib.BlockCipherMode.extend();
var Encryptor = CTR.Encryptor = CTR.extend({
processBlock: function (words, offset) {
// Shortcuts
var cipher = this._cipher
var blockSize = cipher.blockSize;
var iv = this._iv;
var counter = this._counter;
// Generate keystream
if (iv) {
counter = this._counter = iv.slice(0);
// Remove IV for subsequent blocks
this._iv = undefined;
}
var keystream = counter.slice(0);
cipher.encryptBlock(keystream, 0);
// Increment counter
counter[blockSize - 1] = (counter[blockSize - 1] + 1) | 0
// Encrypt
for (var i = 0; i < blockSize; i++) {
words[offset + i] ^= keystream[i];
}
}
});
CTR.Decryptor = Encryptor;
return CTR;
}());
当运行此代码在浏览器JS调试器中使用断点时,它会将nonceAndCounter转换为由32位元素组成的WordArray:
[587320654, -142251766, 455884203, 0]
这用于加密块。为了加密下一个块,它运行以下行:
counter[blockSize - 1] = (counter[blockSize - 1] + 1) | 0
计算结果为 counter[3] 元素,即整数 0 并将其递增为:
[587320654, -142251766, 455884203, 1]
对于后续的块和随机数,我可以看到...
[587320654, -142251766, 455884203, 2]
[587320654, -142251766, 455884203, 3]
[587320654, -142251766, 455884203, 4]
等等。所以它似乎以这种方式正常工作。
将此与传递 128 位随机数时的工作方式进行对比,例如
var nonceAndCounter = CryptoJS.enc.Hex.parse('2301cd4ef785690a1b2c3dabdf99a9b3');
这会产生一个随机数:
[587320654, -142251766, 455884203, -543577677, 0]
所以它创建了 5 个数组元素!?然后函数将第四个元素从 -543577677 递增到 -543577676,然后是 -543577675,然后是 -543577674,依此类推。所以它在某种程度上仍然有效,但不会像从 0 开始那样递增,而且可能更容易出错。
当我只传入一个 96 位随机数时,库会自动将起始计数器作为 0 添加到计数器数组的末尾,并为后续块正确递增它。例如
[587320654, -142251766, 455884203, 0]
[587320654, -142251766, 455884203, 1]
[587320654, -142251766, 455884203, 2]