2 
import javax.crypto.Cipher;

public abstract class Crypto {


    private static final String CIPHER_ALGORITHM = "AES/CTR/NoPadding";
    private String AesKeyString = "ByWelFHCgFqivFZrWs89LQ==";

    private void setKey() throws NoSuchAlgorithmException{
        byte[] keyBytes;
        keyBytes = Base64.getDecoder().decode(AesKeyString);
        aesKey = new SecretKeySpec(keyBytes, "AES");
    }

    protected byte[] execute(int mode, byte[] target, byte[] iv) 
            throws Exception{
        Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);
        IvParameterSpec ivSpec = new IvParameterSpec(iv);
        cipher.init(mode, aesKey, ivSpec);
        return cipher.doFinal(target);
    }

}

根据NIST 建议- 附录 B,构造初始计数器块有两种有效方法(AES 是 128 位块密码):

  1. 128 位随机数与m位计数器值(通常为 32 位)进行异或。
  2. 64 位随机数附加到 64 位计数器。

我的问题是:

  • 关于 javax.crypto.Cipher 的“ AES/CTR/NoPadding ”实例中使用的初始计数器块的确切过程是什么(假设 SunJCE 作为提供者)?也就是说,给定上面的代码,如果有的话,使用了之前的初始计数器块方法中的哪一种?
4

1 回答 1

3

Java 只是让您选择构建计数器的方式。您只需使用 16 字节 IV 初始化 CTR 模式,这只不过是初始计数器值。

一旦开始加密,它将使用一个完整的 128 位计数器。再说一次,您几乎不希望它重新开始,因为这会直接损害明文的安全性。缺点是不直接支持 32 位 XOR 方法(如果您从FFFFFFFF下一个值的计数器开始将改变计数器的第 33 个最低有效位)。

再说一次,我宁愿选择一个 8 字节的随机数并将最低有效位设置为全零。或者当然选择 GCM 模式。

证明:

Cipher aesCTR = Cipher.getInstance("AES/CTR/NoPadding");
SecretKey aesKey = new SecretKeySpec(new byte[16], "AES");
IvParameterSpec lastIV = new IvParameterSpec(Hex.decode("FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF"));
aesCTR.init(Cipher.ENCRYPT_MODE, aesKey, lastIV);
byte[] twoBlocks = aesCTR.doFinal(new byte[2 * aesCTR.getBlockSize()]);
byte[] secondBlock = Arrays.copyOfRange(twoBlocks, 16, 32);
System.out.printf("%s%n", Hex.toHexString(secondBlock));

IvParameterSpec firstIV = new IvParameterSpec(new byte[16]); // all zero IV
aesCTR.init(Cipher.ENCRYPT_MODE, aesKey, firstIV);
byte[] oneBlock = aesCTR.doFinal(new byte[aesCTR.getBlockSize()]);
System.out.printf("%s%n", Hex.toHexString(oneBlock));

输出:

66e94bd4ef8a2c3b884cfa59ca342b2e
66e94bd4ef8a2c3b884cfa59ca342b2e
于 2017-03-16T20:03:10.257 回答