Ce înseamnă contor în modul Counter (CTR)? Este la fel ca nonce?

Așa cum am întrebat mai sus, ce înseamnă exact „contor”? Este la fel ca nonce?

De asemenea, cartea Network Security Essentials (6ed.) de la William Stallings afirmă: „De obicei, contorul este inițializat la o anumită valoare și apoi incrementat cu 1 pentru fiecare bloc următor (modulo $2^b$, Unde $b$ este dimensiunea blocului)". Ce înseamnă exact această afirmație?

ce înseamnă mai exact „contor”?

Contor conform definiției Wikipedia;

În logica digitală și în calcul, un contor este un dispozitiv care stochează (și uneori afișează) de câte ori a avut loc un anumit eveniment sau proces.

În context CTR; este folosit pentru a produce diferite intrări pentru criptare, apoi rezultatul este x-ored cu textul simplu pentru a produce un text cifrat. De obicei, se realizează prin incrementare, deși se poate folosi și LFSR.

Este la fel ca nonce

Nu, nu este același cu nonce (numărul folosit o dată)

Modul CTR combină nonce și counter, ca intrare la cifr. Intrarea este combinată din două părți;

• parte nonce; de obicei, generate aleatoriu per sesiune de criptare sau prin utilizarea contor/LFSR.
• echivalent; setată inițial la zero, apoi incrementată pentru fiecare criptare bloc

Cu acestea putem avea o criptare randomizată și fiecare bloc poate produce o ieșire diferită sub aceeași cheie dacă folosim un PRP precum AES (partea PRF este mai complexă și de fapt CTR este definit pentru PRF, deoarece nu este nevoie de inversul)

„De obicei, contorul este inițializat la o anumită valoare și apoi incrementat cu 1 pentru fiecare bloc următor (modulo $2^b$, Unde $b$ este dimensiunea blocului)". Ce înseamnă exact această afirmație?

Luați în considerare că avem nonce de 64 de biți și contor de 64 de biți;

 nonce counter
9237AF71A232BC82E4 00000000000000000

Primul bloc utilizări 9237AF71A232BC82E40000000000000000 ca intrare, apoi blocul următor folosește ca

 nonce counter
9237AF71A232BC82E4 0000000000000001
9237AF71A232BC82E4 0000000000000002
9237AF71A232BC82E4 0000000000000003
9237AF71A232BC82E4 0000000000000004
 ......
9237AF71A232BC82E4 EFFFFFFFFFFFFFFF
9237AF71A232BC82E4 FFFFFFFFFFFFFFFF
 ......
9237AF71A232BC82E5 0000000000000000 ???

Dacă poți cripta $2^{64}$ blocuri vei ajunge la capătul tejghelei, în funcție de caz acest lucru poate fi periculos.

• Daca continui de la 0 counter 9237AF71A232BC82E40000000000000000 atunci veți avea o problemă de non-reutilizare (tampă de două ori) în modul CTR; se pierde confidențialitatea. Un observator poate executa un traseu manual chiar și unul automatizat

  • O abordare în limbaj natural a criptoanalizei automate a pad-urilor de două ori

• Dacă continuați să creșteți decât 9237AF71A232BC82E50000000000000000 este posibil să apăsați o altă intrare care se poate transforma și în pad-ul de două ori.

Opreste-te acolo; de fapt, oprește-te cu mult înainte dacă utilizați PRP în loc de PRF.

Note despre diferite utilizări ale termenului nonce IV;

• Definiția NIST folosește contorul ca întreaga intrare pentru criptare.

• Wikipedia face o distincție. Am preferat definiția Wikipedia, În cazul GCM, NIST folosește IV și contorul separat.

• Lindell&Katz, în cartea lor, folosește IV ca 3n/4 USD parte din dimensiunea blocului și $1/4$ cât despre tejghea. Criptarea este definită ca $y_i := F_k (IV || \langle i \rangle)$ Ei arată că dacă IV este selectat uniform, atunci reutilizarea IV este un eveniment neglijabil. Prin urmare, modul CTR este securizat CPA.

Nu, nonce și counter sunt cu siguranță termeni diferiți.

• Nonce este o valoare unică pe mesaj.
• Contorul este o valoare unică și secvențială pentru mai multe blocuri ale aceluiași mesaj.

Nonce poate fi calculat în orice mod atâta timp cât este unic. De obicei, este fie complet randomizat, fie este secvenţial, începând de la zero sau unu.

Deși contorul este adesea specificat ca separat de nonce în protocoale, implementările au de obicei un contor care are aceeași dimensiune cu dimensiunea blocului. În acest caz, nonce face parte din cei mai semnificativi biți ai contorului de pornire.

Acest lucru este reflectat de partea din carte pe care o citați:

De asemenea, cartea Network Security Essentials (6ed.) de la William Stallings afirmă:

„De obicei, contorul este inițializat la o anumită valoare și apoi incrementat cu 1 pentru fiecare bloc următor (modulo $2^b$, Unde $b$ este dimensiunea blocului)".

Ce înseamnă mai exact această afirmație?

Să presupunem un cifru bloc de 128 de biți, cum ar fi AES. Atunci să presupunem că fiecare octet este afișat printr-o literă, atunci aveți:

 CCCCCCCC_CCCCCCCC = NNNNNNNN_00000000

unde fiecare C este un octet în contorul de pornire și N este un octet în nonce. Contorul de start este adesea tratat ca „IV”. Acum implementările vor crește acest modul de valoare inițială $2^{128}$: adică când lovește $2^{128} - 1$ următoarea valoare va fi total-zero.

Cu toate acestea, asta înseamnă că după $2^{64}$ incrementează contorul tău va crește octetul cel mai din dreapta nonce, ceea ce poate duce la o valoare duplicată a contorului. Aceasta înseamnă că aplicația în sine trebuie să țină cont de câte blocuri au fost criptate. Motivul pentru aceasta este că nonce poate consta în orice cantitate de octeți, deci nu știe când este afectat nonce. Cu alte cuvinte, implementările nu știu când are loc un overflow în nonce sau când contoarele se ciocnesc.

Note:

• În principiu, orice schemă este valabilă pentru CTR atâta timp cât contorul nu se repetă pentru aceeași cheie. Obținerea unei chei noi pentru fiecare mesaj vă oferă o cantitate aproape infinită de blocuri ($2^{128}$ blocuri de 16 octeți pentru AES).
• Deși contorul nu este definit ca fiind nici big sau little endian, big endian counters par să prevaleze. Totuși, am întâlnit un protocol care folosea un mic contor endian - WinZip dacă memoria îmi servește bine.
• Nonce poate să nu fie singurul element care face unic contorul (inițial), alte elemente de date pot fi incluse în valoarea contorului (inițială). Uneori este inclus un identificator pentru separarea domeniilor, cum ar fi un identificator pentru receptor.
• NIST intră în detaliu despre cum să construiți blocuri de criptare în NIST SP 800-38a, apendicele B, observând la sfârșit că contoarele sunt practic specifice protocolului și că cerința de unicitate trebuie testată separat.

Un nonce este un număr (aleatoriu/pseudoranator) folosit o singură dată. Și aceasta este singura limitare la care este supus. Astfel, nonce este doar un termen generic.

În modul CTR, fiecare valoare este diferită una de cealaltă și (în general) este folosită o singură dată. Prin urmare, vectorul de inițializare și numerele rezultate pot fi privite ca nonces.

(Notă: în unele cazuri, autorii pot face în mod explicit o distincție între valorile CTR și nonces. Dacă acesta este cazul, aceștia pot avea o definiție diferită sau mai multe restricții de luat în considerare)