AES 128 CTR 纯文本大小不是块大小的倍数
AES 128 CTR plain text size not multiple of block size
我 read AES 128 CTR 模式应该在 16 字节(128 位)的块上工作,就像 CBC 模式一样。
确实,如果我尝试使用 openssl 对 18 字节明文进行编码:
max@jarvis:~$ printf 0123456789abcdefgh | openssl enc -e -nopad -nosalt -aes-128-cbc -K 00000000000000000000000000000000 -iv 00000000000000000000000000000000 | hd
bad decrypt
140670739715200:error:0607F08A:digital envelope routines:EVP_EncryptFinal_ex:data not multiple of block length:../crypto/evp/evp_enc.c:425:
00000000 14 f5 fe 74 69 66 f2 92 65 1c 22 88 bb ff 46 09 |...tif..e."...F.|
00000010
max@jarvis:~$ printf 0123456789abcdefgh | openssl enc -e -nosalt -aes-128-cbc -K 00000000000000000000000000000000 -iv 00000000000000000000000000000000 | hd
00000000 14 f5 fe 74 69 66 f2 92 65 1c 22 88 bb ff 46 09 |...tif..e."...F.|
00000010 c2 ae b2 99 18 cd 6e ee 55 92 77 d9 e8 f3 1f bf |......n.U.w.....|
00000020
密文为 16 或 32 字节,具体取决于 -nopad 参数的存在。
但如果我尝试点击率:
max@jarvis:~$ printf 0123456789abcdefgh | openssl enc -e -nopad -nosalt -aes-128-ctr -K 00000000000000000000000000000000 -iv 00000000000000000000000000000000 | hd
00000000 56 d8 79 e7 db bf 1a 0c b0 75 9b 3b a9 50 4e 48 |V.y......u.;.PNH|
00000010 3f 8a |?.|
00000012
max@jarvis:~$ printf 0123456789abcdefgh | openssl enc -e -nosalt -aes-128-ctr -K 00000000000000000000000000000000 -iv 00000000000000000000000000000000 | hd
00000000 56 d8 79 e7 db bf 1a 0c b0 75 9b 3b a9 50 4e 48 |V.y......u.;.PNH|
00000010 3f 8a |?.|
00000012
在每种情况下,密文都是 18 个字节,就像明文一样。
我不明白为什么
CTR 模式使块密码(如 AES)表现为流密码。您得到的结果是预期的 - 输入数据的大小将等于输出数据的大小。
CBC 逐块操作,这就是强制填充方案的原因。 CTR 将计数器值的块传递给 AES,仍然遵循块大小,但随后获取输出块并将其与明文进行异或运算。
在您上面的例子中,两个完整的 128 位块将通过 AES 传递以生成密钥流,但仅使用该密钥流的 128 + 16 位(18 字节)并与您的明文进行异或运算,生成等长的密文。
AES 128 CTR 与 AES 128 CBC 非常不同,您链接到的维基百科页面非常清楚。注意明文是如何在CBC模式下注入加密块,而在CTR模式下从不通过加密块的。
CTR 加密是通过获取随机数、块计数器 (CTR!) 和密钥,然后将它们加密以生成一个 very-hard-to-guess 伪随机数据块(称为密钥流)来完成的。密钥流是XOR-ed加上明文,得到密文。 XOR 完成 byte-wise,因此您可以截断密钥流以匹配明文的长度。请注意,明文永远不会受制于 AES 块密码加密。块密码用作 one-way 函数来生成伪随机密钥流。 CTR 可以与各种密钥流源一起使用,而不仅仅是与 AES 加密块一起使用。
CBC 开始,对于第一个块,通过使用带有随机初始化向量 (IV) 的明文 xor-ed,然后实际通过 AES 块密码加密传递它。来自前一个块的密文用作后继块的新 IV,即 IV 永远不会被重复使用。
我 read AES 128 CTR 模式应该在 16 字节(128 位)的块上工作,就像 CBC 模式一样。
确实,如果我尝试使用 openssl 对 18 字节明文进行编码:
max@jarvis:~$ printf 0123456789abcdefgh | openssl enc -e -nopad -nosalt -aes-128-cbc -K 00000000000000000000000000000000 -iv 00000000000000000000000000000000 | hd
bad decrypt
140670739715200:error:0607F08A:digital envelope routines:EVP_EncryptFinal_ex:data not multiple of block length:../crypto/evp/evp_enc.c:425:
00000000 14 f5 fe 74 69 66 f2 92 65 1c 22 88 bb ff 46 09 |...tif..e."...F.|
00000010
max@jarvis:~$ printf 0123456789abcdefgh | openssl enc -e -nosalt -aes-128-cbc -K 00000000000000000000000000000000 -iv 00000000000000000000000000000000 | hd
00000000 14 f5 fe 74 69 66 f2 92 65 1c 22 88 bb ff 46 09 |...tif..e."...F.|
00000010 c2 ae b2 99 18 cd 6e ee 55 92 77 d9 e8 f3 1f bf |......n.U.w.....|
00000020
密文为 16 或 32 字节,具体取决于 -nopad 参数的存在。
但如果我尝试点击率:
max@jarvis:~$ printf 0123456789abcdefgh | openssl enc -e -nopad -nosalt -aes-128-ctr -K 00000000000000000000000000000000 -iv 00000000000000000000000000000000 | hd
00000000 56 d8 79 e7 db bf 1a 0c b0 75 9b 3b a9 50 4e 48 |V.y......u.;.PNH|
00000010 3f 8a |?.|
00000012
max@jarvis:~$ printf 0123456789abcdefgh | openssl enc -e -nosalt -aes-128-ctr -K 00000000000000000000000000000000 -iv 00000000000000000000000000000000 | hd
00000000 56 d8 79 e7 db bf 1a 0c b0 75 9b 3b a9 50 4e 48 |V.y......u.;.PNH|
00000010 3f 8a |?.|
00000012
在每种情况下,密文都是 18 个字节,就像明文一样。
我不明白为什么
CTR 模式使块密码(如 AES)表现为流密码。您得到的结果是预期的 - 输入数据的大小将等于输出数据的大小。
CBC 逐块操作,这就是强制填充方案的原因。 CTR 将计数器值的块传递给 AES,仍然遵循块大小,但随后获取输出块并将其与明文进行异或运算。
在您上面的例子中,两个完整的 128 位块将通过 AES 传递以生成密钥流,但仅使用该密钥流的 128 + 16 位(18 字节)并与您的明文进行异或运算,生成等长的密文。
AES 128 CTR 与 AES 128 CBC 非常不同,您链接到的维基百科页面非常清楚。注意明文是如何在CBC模式下注入加密块,而在CTR模式下从不通过加密块的。
CTR 加密是通过获取随机数、块计数器 (CTR!) 和密钥,然后将它们加密以生成一个 very-hard-to-guess 伪随机数据块(称为密钥流)来完成的。密钥流是XOR-ed加上明文,得到密文。 XOR 完成 byte-wise,因此您可以截断密钥流以匹配明文的长度。请注意,明文永远不会受制于 AES 块密码加密。块密码用作 one-way 函数来生成伪随机密钥流。 CTR 可以与各种密钥流源一起使用,而不仅仅是与 AES 加密块一起使用。
CBC 开始,对于第一个块,通过使用带有随机初始化向量 (IV) 的明文 xor-ed,然后实际通过 AES 块密码加密传递它。来自前一个块的密文用作后继块的新 IV,即 IV 永远不会被重复使用。