【问题标题】:Using the nonce and counter correctly for AES-CTR mode正确使用随机数和计数器用于 AES-CTR 模式
【发布时间】:2015-06-08 01:29:06
【问题描述】:

我了解在 AES 计数器模式下我需要使用 128 位随机数。天真的方法是使用随机的 128 位随机数,但我不确定如果将计数器作为所有随机位传递,算法是否能够正确递增计数器。我认为正确的做法是使用 96 位随机数和从 0 开始的 32 位计数器,例如:

var key = CryptoJS.enc.Hex.parse('01ab23cd45ef67089a1b2c3d4e5f6a7b'); // 128 bits / 16 bytes
var nonce = '2301cd4ef785690a1b2c3dab'; // 96 bits / 12 bytes
var counter = '00000000'; // 32 bits / 4 bytes
var nonceAndCounter = nonce + counter;
    nonceAndCounter = CryptoJS.enc.Hex.parse(nonceAndCounter);
var plaintext = 'The quick brown fox jumps over the lazy dog.';

var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonceAndCounter, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });
var ciphertext = encryption.ciphertext.toString(CryptoJS.enc.Hex);

这是使用CryptoJS library 的正确方法吗?或者正确的方法是什么?

【问题讨论】:

    标签: javascript encryption aes cryptojs ctr-mode


    【解决方案1】:

    我将在深入研究库代码以了解其真正作用时回答我自己的问题。

    总结:

    答案是您可以使用两种方法中的任何一种,它都会按预期工作:

    1) 传入一个长度为 96 位的随机数,库本身将自动添加 32 位计数器,并随着每个生成的密钥流块增加它。例如。

    var nonce = CryptoJS.enc.Hex.parse('2301cd4ef785690a1b2c3dab'); // 12 Bytes
    var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonce, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });
    

    2) 传入一个长度为 96 位的随机数,如果需要,还可以显式指定 32 位计数器。如果您想从第 9 个块开始加密/解密,您甚至可以指定像 00000009 这样的计数器。下面是一个从计数器 0 开始的示例:

    var nonce = '2301cd4ef785690a1b2c3dab';  // 12 Bytes
    var counter = '00000000';                // 4 Bytes, start at counter 0
    var nonceAndCounter = CryptoJS.enc.Hex.parse(nonce + counter);  // 16 Bytes
    var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonceAndCounter, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });
    

    解释:

    使用问题中的代码与00000000的32位计数器,相关代码在此文件mode-ctr.js中:

    /**
     * Counter block mode.
     */
    CryptoJS.mode.CTR = (function () {
        var CTR = CryptoJS.lib.BlockCipherMode.extend();
    
        var Encryptor = CTR.Encryptor = CTR.extend({
            processBlock: function (words, offset) {
                // Shortcuts
                var cipher = this._cipher
                var blockSize = cipher.blockSize;
                var iv = this._iv;
                var counter = this._counter;
    
                // Generate keystream
                if (iv) {
                    counter = this._counter = iv.slice(0);
    
                    // Remove IV for subsequent blocks
                    this._iv = undefined;
                }
                var keystream = counter.slice(0);
                cipher.encryptBlock(keystream, 0);
    
                // Increment counter
                counter[blockSize - 1] = (counter[blockSize - 1] + 1) | 0
    
                // Encrypt
                for (var i = 0; i < blockSize; i++) {
                    words[offset + i] ^= keystream[i];
                }
            }
        });
    
        CTR.Decryptor = Encryptor;
    
        return CTR;
    }());
    

    当使用断点在浏览器 JS 调试器中运行此代码时,它会将 nonceAndCounter 转换为由 32 位元素组成的 WordArray:

    [587320654, -142251766, 455884203, 0]

    这用于加密一个块。要加密下一个块,它运行此行:

    counter[blockSize - 1] = (counter[blockSize - 1] + 1) | 0

    计算取 counter[3] 元素,即整数 0 并将其递增到:

    [587320654, -142251766, 455884203, 1]

    我可以看到后续的块和随机数...

    [587320654, -142251766, 455884203, 2]

    [587320654, -142251766, 455884203, 3]

    [587320654, -142251766, 455884203, 4]

    等等。所以它似乎以这种方式正常工作。

    将此与传递 128 位随机 nonce 时的工作方式进行对比,例如

    var nonceAndCounter = CryptoJS.enc.Hex.parse('2301cd4ef785690a1b2c3dabdf99a9b3');

    这会产生一个随机数:

    [587320654, -142251766, 455884203, -543577677, 0]

    所以它创建了 5 个数组元素!?然后该函数将第四个元素从​​-543577677 递增到-543577676,然后是-543577675,然后是-543577674,以此类推。所以它在某种程度上仍然有效,但不像从 0 开始那样递增,而且可能更容易出错。

    当我只传入一个 96 位随机数时,库会自动将起始计数器作为 0 添加到计数器数组的末尾,并为后续块正确递增。例如

    [587320654, -142251766, 455884203, 0]
    [587320654, -142251766, 455884203, 1]
    [587320654, -142251766, 455884203, 2]
    

    【讨论】:

    • 因此,您似乎不需要明确设置计数器,因为 CryptoJS 会自动为您添加它。它可能会检查最后一个单词是否已经为 0。此外,CTR 模式没有 IV,它被称为 nonce。
    • “另外,CTR 模式没有 IV,它被称为 nonce。”注意到了,谢谢。 “所以,您似乎不需要明确设置计数器,因为 CryptoJS 会自动为您添加它。”是的,我对此进行了测试,只传入一个 96 位随机数,它会自动将起始计数器作为 0 添加到 counter 数组的末尾,例如[587320654, -142251766, 455884203, 0] 并正确递增。非常感谢 Artjom 的回复。抱歉,我标记了你,因为我看到你的名字附在其他 CryptoJS 答案上,我认为你对图书馆很了解。
    • 点击率模式没有随机数。不过,NIST 选择初始计数器块的示例之一确实涉及随机数。
    猜你喜欢
    • 2018-04-15
    • 2014-07-07
    • 1970-01-01
    • 2017-10-15
    • 1970-01-01
    • 1970-01-01
    • 2020-04-29
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多