为AES-CTR模式正确使用随机数和计数器

Question

我知道在AES计数器模式下，我需要使用128位随机数。最简单的方法是使用随机的128位随机数，但我不确定如果算法作为所有随机位传递，算法将无法正确增加计数器。我认为正确的方式做它是使用一个96位的随机数也从0开始，32位计数器，例如：

var key = CryptoJS.enc.Hex.parse('01ab23cd45ef67089a1b2c3d4e5f6a7b'); // 128 bits/16 bytes 
var nonce = '2301cd4ef785690a1b2c3dab'; // 96 bits/12 bytes 
var counter = '00000000'; // 32 bits/4 bytes 
var nonceAndCounter = nonce + counter; 
    nonceAndCounter = CryptoJS.enc.Hex.parse(nonceAndCounter); 
var plaintext = 'The quick brown fox jumps over the lazy dog.'; 

var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonceAndCounter, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding }); 
var ciphertext = encryption.ciphertext.toString(CryptoJS.enc.Hex); 

这与CryptoJS library做正确的方法是什么？或者什么是正确的方法？

Answer 1

当我去挖掘库代码以查看它的真实含义时，我将回答我自己的问题。

摘要：

答案是你可以使用两种方法，它将按预期工作：

1）通行证在96位长的随机数和库本身会自动添加32位计数器，并在生成每个密钥流块时增加它。例如。

var nonce = CryptoJS.enc.Hex.parse('2301cd4ef785690a1b2c3dab'); // 12 Bytes 
var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonce, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding }); 

2）通在长度为96位，并明确一个随机数指定的32位计数器，以及如果你想。如果您想从第9个块开始加密/解密，您甚至可以指定一个像00000009这样的计数器。

var nonce = '2301cd4ef785690a1b2c3dab'; // 12 Bytes 
var counter = '00000000';    // 4 Bytes, start at counter 0 
var nonceAndCounter = CryptoJS.enc.Hex.parse(nonce + counter); // 16 Bytes 
var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonceAndCounter, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding }); 

说明：：下面是一个例子，从计数器0开始

在与00000000 32位计数器的问题使用代码，相关的代码是在该文件中mode-ctr.js：

/** 
* Counter block mode. 
*/ 
CryptoJS.mode.CTR = (function() { 
    var CTR = CryptoJS.lib.BlockCipherMode.extend(); 

    var Encryptor = CTR.Encryptor = CTR.extend({ 
     processBlock: function (words, offset) { 
      // Shortcuts 
      var cipher = this._cipher 
      var blockSize = cipher.blockSize; 
      var iv = this._iv; 
      var counter = this._counter; 

      // Generate keystream 
      if (iv) { 
       counter = this._counter = iv.slice(0); 

       // Remove IV for subsequent blocks 
       this._iv = undefined; 
      } 
      var keystream = counter.slice(0); 
      cipher.encryptBlock(keystream, 0); 

      // Increment counter 
      counter[blockSize - 1] = (counter[blockSize - 1] + 1) | 0 

      // Encrypt 
      for (var i = 0; i < blockSize; i++) { 
       words[offset + i] ^= keystream[i]; 
      } 
     } 
    }); 

    CTR.Decryptor = Encryptor; 

    return CTR; 
}()); 

当使用断点在浏览器JS调试器中运行此代码时，它将nonceAndCounter转换为WordArray缺点32种元素的isting：

[587320654, -142251766, 455884203, 0]

这被用来加密一个块。要加密的下一个块运行这一行：

counter[blockSize - 1] = (counter[blockSize - 1] + 1) | 0

其评估采取counter[3]元件即整数0和它递增到：

[587320654, -142251766, 455884203, 1]

随着后续块和随机数我可以看到...

[587320654, -142251766, 455884203, 2]

[587320654, -142251766, 455884203, 3]

[587320654, -142251766, 455884203, 4]

等。所以它似乎以这种方式正确工作。

如果你传递一个128位的随机随机数，例如：

var nonceAndCounter = CryptoJS.enc.Hex.parse('2301cd4ef785690a1b2c3dabdf99a9b3');

这产生的随机数：

[587320654, -142251766, 455884203, -543577677, 0]

所以它产生5的数组元素！？然后，该函数将第四个元素从​​-543577677增加到-543577676，然后-543577675，然后-543577674等等。所以它仍然以某种方式工作，但是从0开始的增量并不会很好，并且可能更容易出错。

当我传入一个96位随机数时，库自动将计数器数组0加到计数器数组的末尾，并为后续数组正确地加1。例如

[587320654, -142251766, 455884203, 0] 
[587320654, -142251766, 455884203, 1] 
[587320654, -142251766, 455884203, 2]