在 AES-CTR 模式下正确使用随机数和计数器

据我了解，在 AES 计数器模式下，我需要使用 128 位随机数。最简单的方法是使用随机 128 位随机数，但我不确定如果将其作为所有随机位传递，算法是否能够正确增加计数器。我认为正确的方法是使用 96 位随机数和从 0 开始的 32 位计数器，例如：

var key = CryptoJS.enc.Hex.parse('01ab23cd45ef67089a1b2c3d4e5f6a7b'); // 128 bits / 16 bytes
var nonce = '2301cd4ef785690a1b2c3dab'; // 96 bits / 12 bytes
var counter = '00000000'; // 32 bits / 4 bytes
var nonceAndCounter = nonce + counter;
    nonceAndCounter = CryptoJS.enc.Hex.parse(nonceAndCounter);
var plaintext = 'The quick brown fox jumps over the lazy dog.';

var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonceAndCounter, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });
var ciphertext = encryption.ciphertext.toString(CryptoJS.enc.Hex);

这是正确的方法吗CryptoJS 库 https://code.google.com/p/crypto-js/？或者什么是正确的方法？

当我深入研究库代码以了解它的真正作用时，我将回答我自己的问题。

Summary:

答案是您可以使用两种方法中的任何一种，它将按预期工作：

1)传入长度为 96 位的随机数，库本身将自动添加 32 位计数器，并随着生成的每个密钥流块而递增它。例如。

var nonce = CryptoJS.enc.Hex.parse('2301cd4ef785690a1b2c3dab'); // 12 Bytes
var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonce, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });

2)传入长度为 96 位的随机数，并根据需要显式指定 32 位计数器。您甚至可以指定一个计数器，例如00000009如果你想从第9块开始加密/解密。下面是从计数器 0 开始的示例：

var nonce = '2301cd4ef785690a1b2c3dab';  // 12 Bytes
var counter = '00000000';                // 4 Bytes, start at counter 0
var nonceAndCounter = CryptoJS.enc.Hex.parse(nonce + counter);  // 16 Bytes
var encryption = CryptoJS.AES.encrypt(plaintext, key, { iv: nonceAndCounter, mode: CryptoJS.mode.CTR, padding: CryptoJS.pad.NoPadding });

解释：

使用问题中的代码和 32 位计数器00000000，相关代码在这个文件中模式ctr.js https://crypto-js.googlecode.com/svn/tags/3.1.2/src/mode-ctr.js:

/**
 * Counter block mode.
 */
CryptoJS.mode.CTR = (function () {
    var CTR = CryptoJS.lib.BlockCipherMode.extend();

    var Encryptor = CTR.Encryptor = CTR.extend({
        processBlock: function (words, offset) {
            // Shortcuts
            var cipher = this._cipher
            var blockSize = cipher.blockSize;
            var iv = this._iv;
            var counter = this._counter;

            // Generate keystream
            if (iv) {
                counter = this._counter = iv.slice(0);

                // Remove IV for subsequent blocks
                this._iv = undefined;
            }
            var keystream = counter.slice(0);
            cipher.encryptBlock(keystream, 0);

            // Increment counter
            counter[blockSize - 1] = (counter[blockSize - 1] + 1) | 0

            // Encrypt
            for (var i = 0; i < blockSize; i++) {
                words[offset + i] ^= keystream[i];
            }
        }
    });

    CTR.Decryptor = Encryptor;

    return CTR;
}());

当使用断点在浏览器 JS 调试器中运行此代码时，它会将nonceAndCounter转换为由 32 位元素组成的 WordArray：

[587320654, -142251766, 455884203, 0]

这用于加密块。为了加密下一个块，它运行以下行：

counter[blockSize - 1] = (counter[blockSize - 1] + 1) | 0

哪个评估采取counter[3]元素，即整数 0 并将其递增到：

[587320654, -142251766, 455884203, 1]

通过后续的块和随机数，我可以看到......

[587320654, -142251766, 455884203, 2]

[587320654, -142251766, 455884203, 3]

[587320654, -142251766, 455884203, 4]

等等。所以它似乎以这种方式正常工作。

将其与传递 128 位随机数的工作原理进行对比，例如

var nonceAndCounter = CryptoJS.enc.Hex.parse('2301cd4ef785690a1b2c3dabdf99a9b3');

这会产生一个随机数：

[587320654, -142251766, 455884203, -543577677, 0]

所以它创建了 5 个数组元素！？然后该函数将第四个元素从-543577677 to -543577676, then -543577675, then -543577674等等。所以它在某种程度上仍然有效，但不会像从 0 开始那样递增，并且可能更容易出错。

当我仅传入 96 位随机数时，库会自动将起始计数器添加为 0 到计数器数组的末尾，并为后续块正确递增它。例如

[587320654, -142251766, 455884203, 0]
[587320654, -142251766, 455884203, 1]
[587320654, -142251766, 455884203, 2]