为什么有状态CTR略优于无状态CTR？对手知道CTR运作模式中计数器的价值吗？

Question

这可能是一个愚蠢的问题，但在我对CTR的理解中，这是一个非常基本的问题(我是密码学理论的新手)。

对于注册会计师安全，对手只知道IV，并且可以查询IV+ctr^*的随机值，其中ctr^*是计数器。

对于有状态的CTR，我们假设什么是可预测的-现在还是计数器？

Answer 1

对于有状态的CTR，我们假设什么是可预测的-现在还是计数器？

两者都有。一般而言，大多数实现的工作如下：

该分组密码的输入是IV/Nonce (96位)和计数器(32位)的组合。对于每一条消息，现在增加1。对于消息的每一个块，计数器增加1。

由通信方保持的状态由密钥、最后一次使用的和最后使用的计数器组成。重要的是，跟踪这些信息可以确保所有3的组合只使用一次，因为如果攻击者知道与该三份副本一起使用的明文块之一，则重复可以允许明文恢复。

这种可预见性对于优化也很重要，因为发送方和接收方都可以在等待消息被接收时并行地预先计算消息块，或者在多线程中预先计算消息块以提高吞吐量。