Что означает счетчик в режиме счетчика (CTR)? Это то же самое, что и nonce?

Как было сказано выше, что именно означает «счетчик»? Это то же самое, что и nonce?

Кроме того, в книге «Основы сетевой безопасности» (6-е изд.) Уильяма Столлингса говорится: «Обычно счетчик инициализируется некоторым значением, а затем увеличивается на 1 для каждого последующего блока (по модулю $2^б$, куда $b$ размер блока)». Что именно означает это утверждение?

что именно означает "счетчик"?

Счетчик согласно определению в Википедии;

В цифровой логике и вычислениях счетчик — это устройство, которое хранит (а иногда и отображает) количество раз, когда произошло определенное событие или процесс.

В контексте CTR; он используется для создания различных входных данных для шифрования, затем выходные данные сравниваются с открытым текстом для получения зашифрованного текста. Обычно это выполняется путем увеличения, хотя можно использовать и LFSR.

Это то же самое, что и nonce

Нет, это не то же самое, что nonce (число, используемое один раз)

Режим CTR объединяет одноразовый номер и счетчик в качестве входных данных для шифра. Вход складывается из двух частей;

• одноразовая часть; обычно генерируется случайным образом для сеанса шифрования или с использованием счетчик/LFSR.
• ответная часть; изначально установлен ноль, затем увеличивается для каждого блока шифрования

С их помощью мы можем иметь рандомизированное шифрование, и каждый блок может производить разные выходные данные с одним и тем же ключом, если мы используем PRP, такой как AES (часть PRF более сложна, и фактически CTR определяется для PRF, поскольку нет необходимости в обратном)

«Обычно счетчик инициализируется некоторым значением, а затем увеличивается на 1 для каждого последующего блока (по модулю $2^б$, куда $b$ размер блока)». Что именно означает это утверждение?

Учтите, что у нас есть 64-битный одноразовый номер и 64-битный счетчик;

 одноразовый счетчик
9237AF71A232BC82E4 0000000000000000

Первый блок использует 9237AF71A232BC82E400000000000000000 в качестве входных данных, то следующий блок использует в качестве

 одноразовый счетчик
9237AF71A232BC82E4 0000000000000001
9237AF71A232BC82E4 0000000000000002
9237AF71A232BC82E4 0000000000000003
9237AF71A232BC82E4 0000000000000004
 ... ...
9237AF71A232BC82E4 ЭФФФФФФФФФФФФФ
9237AF71A232BC82E4 FFFFFFFFFFFFFFFFFF
 ... ...
9237AF71A232BC82E5 0000000000000000 ???

Если вы можете зашифровать $2^{64}$ блоков вы дойдете до конца счетчика, в зависимости от случая это может быть опасно.

• Если продолжить с 0 счетчика 9237AF71A232BC82E400000000000000000 тогда у вас будет проблема с одноразовым повторным использованием (двойной блокнот) в режиме CTR; конфиденциальность теряется. Наблюдатель может выполнять ручное перетаскивание кроватки даже автоматизированное.

  • Подход на естественном языке к автоматизированному криптоанализу двукратных блокнотов

• Если вы продолжите приращение, чем 9237AF71A232BC82E500000000000000000 вы можете нажать другой ввод, который также может превратиться в двукратный блокнот.

Останавливаться на достигнутом; на самом деле, остановись задолго до этого если вы используете PRP вместо PRF.

Примечания о различных употреблениях термина nonce IV;

• Определение NIST использует счетчик в качестве всего ввода для шифрования.

• Википедия делает различие. Я предпочитаю определение из Википедии. В случае GCM NIST использует IV и счетчик отдельно.

• Линделл и Кац в своей книге используют IV в качестве 3$/4$ часть размера блока и $1/4$ что касается счетчика. Шифрование определяется как $y_i := F_k (IV || \langle i \rangle)$ Они показывают, что если IV выбран единообразно, то повторное использование IV является незначительным событием. Поэтому режим CTR безопасен для CPA.

Нет, одноразовый номер и счетчик, безусловно, разные термины.

• Nonce — это уникальное значение для каждого сообщения.
• Счетчик представляет собой уникальное и последовательное значение для нескольких блоков одного и того же сообщения.

Одноразовый номер можно вычислить любым способом, если он уникален. Обычно он либо полностью рандомизирован, либо последователен, начиная с нуля или единицы.

Хотя счетчик часто указывается отдельно от одноразового номера в протоколах реализации обычно имеют счетчик того же размера, что и размер блока. В этом случае одноразовый номер является частью старших битов начального счетчика.

Это отражено в той части книги, которую вы цитируете:

Кроме того, в книге «Основы сетевой безопасности» (6-е изд.) Уильяма Столлингса говорится:

«Обычно счетчик инициализируется некоторым значением, а затем увеличивается на 1 для каждого последующего блока (по модулю $2^б$, куда $b$ размер блока)".

Что конкретно означает это утверждение?

Предположим, что используется 128-битный блочный шифр, такой как AES. Тогда допустим, что каждый байт отображается буквой, тогда у вас есть:

 CCCCCCCC_CCCCCCCC = NNNNNNNN_00000000

где каждый C — это байт в начальном счетчике, а N — это байт внутри одноразового номера. Стартовый счетчик часто рассматривается как «IV». Теперь реализации увеличат этот модуль начального значения. $2^{128}$: т.е. когда он попадает $2^{128} - 1$ следующее значение будет нулевым.

Однако это означает, что после $2^{64}$ увеличивается, ваш счетчик будет увеличивать крайний правый одноразовый байт, что может привести к дублированию значения счетчика. Это означает, что само приложение должно вести подсчет количества зашифрованных блоков. Причина этого в том, что одноразовый номер может состоять из любое количество байт, поэтому он не знает, когда затрагивается одноразовый номер. Другими словами, реализации не знают, когда происходит переполнение одноразового номера или когда счетчики сталкиваются.

Примечания:

• В принципе, для CTR действительна любая схема, пока счетчик не повторяется для одного и того же ключа. Получение нового ключа для каждого сообщения дает вам почти бесконечное количество блоков ($2^{128}$ 16-байтовые блоки для AES).
• Хотя счетчик не определен ни как прямой, ни как с прямым порядком байтов, кажется, что преобладают счетчики с обратным порядком байтов. Я столкнулся с одним протоколом, который использовал счетчик с прямым порядком байтов — WinZip, если мне не изменяет память.
• Одноразовый номер может быть не единственным элементом, который делает (начальный) счетчик уникальным, другие элементы данных могут быть включены в (начальное) значение счетчика. Иногда включается идентификатор для разделения домена, например идентификатор получателя.
• NIST подробно описывает, как создавать блоки шифров, в NIST SP 800-38a, приложение B, отмечая в конце, что счетчики в основном зависят от протокола и что требование уникальности должно проверяться отдельно.

Nonce — это (случайное/псевдослучайное) число, используемое только один раз. И это единственное ограничение, которому он подлежит. Таким образом, одноразовый номер является просто общим термином.

В режиме CTR каждое значение отличается друг от друга и (как правило) используется только один раз. Поэтому вектор инициализации и результирующие числа можно рассматривать как одноразовые номера.

(Примечание. В некоторых случаях авторы могут явно проводить различие между значениями CTR и одноразовыми номерами. В этом случае у них может быть другое определение или дополнительные ограничения для рассмотрения)