正确使用随机数和计数器进行AES-CTR模式

时间:2015-04-02 23:17:15

标签: javascript encryption aes cryptojs ctr-mode

据我所知,在AES计数器模式下,我需要使用128位随机数。这种天真的方法是使用一个随机的128位随机数,但我不确定如果它作为所有随机位传递,算法将能够正确递增计数器。我认为正确的方法是使用96位nonce以及从0开始的32位计数器,例如:

var key = CryptoJS.enc.Hex.parse('01ab23cd45ef67089a1b2c3d4e5f6a7b'); // 128 bits / 16 bytes
var nonce = '2301cd4ef785690a1b2c3dab'; // 96 bits / 12 bytes
var counter = '00000000'; // 32 bits / 4 bytes
var nonceAndCounter = nonce + counter;
    nonceAndCounter = CryptoJS.enc.Hex.parse(nonceAndCounter);
var plaintext = 'The quick brown fox jumps over the lazy dog.';

var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonceAndCounter, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });
var ciphertext = encryption.ciphertext.toString(CryptoJS.enc.Hex);

这是使用CryptoJS library执行此操作的正确方法吗?或者正确的方法是什么?

1 个答案:

答案 0 :(得分:5)

当我深入研究图书馆代码以了解其真正的作用时,我将回答我自己的问题。

<强> 要点:

答案是你可以使用两种方法中的任何一种,它会按预期工作:

1)传入96位长度的随机数,库本身将自动添加32位计数器,并在生成的每个密钥流块中递增。例如。

var nonce = CryptoJS.enc.Hex.parse('2301cd4ef785690a1b2c3dab'); // 12 Bytes
var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonce, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });

2)传入96位长度的随机数,如果需要,也可以明确指定32位计数器。如果要从第9个块开始加密/解密,甚至可以指定00000009之类的计数器。以下是从计数器0开始的示例:

var nonce = '2301cd4ef785690a1b2c3dab';  // 12 Bytes
var counter = '00000000';                // 4 Bytes, start at counter 0
var nonceAndCounter = CryptoJS.enc.Hex.parse(nonce + counter);  // 16 Bytes
var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonceAndCounter, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });

<强> 说明:

使用32位计数器00000000的问题中的代码,相关代码位于此文件mode-ctr.js中:

/**
 * Counter block mode.
 */
CryptoJS.mode.CTR = (function () {
    var CTR = CryptoJS.lib.BlockCipherMode.extend();

    var Encryptor = CTR.Encryptor = CTR.extend({
        processBlock: function (words, offset) {
            // Shortcuts
            var cipher = this._cipher
            var blockSize = cipher.blockSize;
            var iv = this._iv;
            var counter = this._counter;

            // Generate keystream
            if (iv) {
                counter = this._counter = iv.slice(0);

                // Remove IV for subsequent blocks
                this._iv = undefined;
            }
            var keystream = counter.slice(0);
            cipher.encryptBlock(keystream, 0);

            // Increment counter
            counter[blockSize - 1] = (counter[blockSize - 1] + 1) | 0

            // Encrypt
            for (var i = 0; i < blockSize; i++) {
                words[offset + i] ^= keystream[i];
            }
        }
    });

    CTR.Decryptor = Encryptor;

    return CTR;
}());

在使用断点的浏览器JS调试器中运行此代码时,它会将nonceAndCounter转换为由32位元素组成的WordArray:

[587320654, -142251766, 455884203, 0]

这用于加密块。要加密下一个块,它将运行此行:

counter[blockSize - 1] = (counter[blockSize - 1] + 1) | 0

评估采用counter[3]元素,即整数0并将其递增为:

[587320654, -142251766, 455884203, 1]

随后的块和nonce我可以看到......

[587320654, -142251766, 455884203, 2]

[587320654, -142251766, 455884203, 3]

[587320654, -142251766, 455884203, 4]

等等。所以它似乎以这种方式正常工作。

如果传递128位随机数,例如

,则将其与工作方式进行对比

var nonceAndCounter = CryptoJS.enc.Hex.parse('2301cd4ef785690a1b2c3dabdf99a9b3');

这产生了一个nonce:

[587320654, -142251766, 455884203, -543577677, 0]

所以它创建了5个数组元素!?然后函数将第四个元素从​​-543577677递增到-543577676,然后递增-543577675,然后递增-543577674,依此类推。所以它仍然在某种程度上起作用,但是从0开始并没有那么好地增加,并且可能更容易出错。

当我只传入96位随机数时,库会自动将启动计数器作为0添加到计数器数组的末尾,并为后续块正确递增。 e.g。

[587320654, -142251766, 455884203, 0]
[587320654, -142251766, 455884203, 1]
[587320654, -142251766, 455884203, 2]