英特尔®TinyCrypt：如何使用AES-128 / CTR

Question

我需要使用Intel TinyCrypt进行AES-128 / CTR加密/解密（用C语言编写）。我看了一下库提供的测试用例，但是仍然有一些关于如何使用它的问题。这是测试用例的代码（参见完整的源代码here）：

/*
 * NIST SP 800-38a CTR Test for encryption and decryption.
 */
uint32_t test_1_and_2(void)
{
    const uint8_t key[16] = {
        0x2b, 0x7e, 0x15, 0x16, 0x28, 0xae, 0xd2, 0xa6, 0xab, 0xf7, 0x15, 0x88,
        0x09, 0xcf, 0x4f, 0x3c
    };
    uint8_t ctr[16] = {
        0xf0, 0xf1, 0xf2, 0xf3, 0xf4, 0xf5, 0xf6, 0xf7, 0xf8, 0xf9, 0xfa, 0xfb,
        0xfc, 0xfd, 0xfe, 0xff
    };
    const uint8_t plaintext[64] = {
        0x6b, 0xc1, 0xbe, 0xe2, 0x2e, 0x40, 0x9f, 0x96, 0xe9, 0x3d, 0x7e, 0x11,
        0x73, 0x93, 0x17, 0x2a, 0xae, 0x2d, 0x8a, 0x57, 0x1e, 0x03, 0xac, 0x9c,
        0x9e, 0xb7, 0x6f, 0xac, 0x45, 0xaf, 0x8e, 0x51, 0x30, 0xc8, 0x1c, 0x46,
        0xa3, 0x5c, 0xe4, 0x11, 0xe5, 0xfb, 0xc1, 0x19, 0x1a, 0x0a, 0x52, 0xef,
        0xf6, 0x9f, 0x24, 0x45, 0xdf, 0x4f, 0x9b, 0x17, 0xad, 0x2b, 0x41, 0x7b,
        0xe6, 0x6c, 0x37, 0x10
    };
    const uint8_t ciphertext[80] = {
        0xf0, 0xf1, 0xf2, 0xf3, 0xf4, 0xf5, 0xf6, 0xf7, 0xf8, 0xf9, 0xfa, 0xfb,
        0xfc, 0xfd, 0xfe, 0xff, 0x87, 0x4d, 0x61, 0x91, 0xb6, 0x20, 0xe3, 0x26,
        0x1b, 0xef, 0x68, 0x64, 0x99, 0x0d, 0xb6, 0xce, 0x98, 0x06, 0xf6, 0x6b,
        0x79, 0x70, 0xfd, 0xff, 0x86, 0x17, 0x18, 0x7b, 0xb9, 0xff, 0xfd, 0xff,
        0x5a, 0xe4, 0xdf, 0x3e, 0xdb, 0xd5, 0xd3, 0x5e, 0x5b, 0x4f, 0x09, 0x02,
        0x0d, 0xb0, 0x3e, 0xab, 0x1e, 0x03, 0x1d, 0xda, 0x2f, 0xbe, 0x03, 0xd1,
        0x79, 0x21, 0x70, 0xa0, 0xf3, 0x00, 0x9c, 0xee
    };
    struct tc_aes_key_sched_struct sched;
    uint8_t out[80];
    uint8_t decrypted[64];
    uint32_t result = TC_PASS;

    TC_PRINT("CTR test #1 (encryption SP 800-38a tests):\n");
    (void)tc_aes128_set_encrypt_key(&sched, key);

    (void)memcpy(out, ctr, sizeof(ctr));
    if (tc_ctr_mode(&out[TC_AES_BLOCK_SIZE], sizeof(plaintext),
            plaintext, sizeof(plaintext), ctr, &sched) == 0) {
        TC_ERROR("CTR test #1 (encryption SP 800-38a tests) failed in %s.\n", __func__);
        result = TC_FAIL;
        goto exitTest1;
    }

    result = check_result(1, ciphertext, sizeof(out), out, sizeof(out));
    TC_END_RESULT(result);

    TC_PRINT("CTR test #2 (decryption SP 800-38a tests):\n");
    (void) memcpy(ctr, out, sizeof(ctr));
    if (tc_ctr_mode(decrypted, sizeof(decrypted), &out[TC_AES_BLOCK_SIZE],
            sizeof(decrypted), ctr, &sched) == 0) {
        TC_ERROR("CTR test #2 (decryption SP 800-38a tests) failed in %s.\n", __func__);
        result = TC_FAIL;
        goto exitTest1;
    }

    result = check_result(2, plaintext, sizeof(plaintext),
            decrypted, sizeof(plaintext));

exitTest1:
    TC_END_RESULT(result);
    return result;
}

我的输入数据是双指针（2D数组），我想保持这种方式：

uint8_t ** mydata = gen_rand_data(const size_t height, const size_t length);

这是我的理解（如果我错了，请纠正我）：

1. AES-128是一种分组密码，具有128位密钥。
2. CTR模式使AES-128成为流密码，并允许加密/解密任意大小的数据。
3. 具有AES-128 / CTR，输出（密文）与明文的长度相同。
4. 为了提高安全性，最好使用128位IV（nonce）进行加密。

现在这是我的问题：

1. 我可以说ctr（初始计数器，对吗？）是我们的IV？
2. 为什么ciphertext（预期值）和out（计算值）比plaintext大128位？
3. 为什么代码会在ctr？
的开头复制out值
4. 要加密mydata（二维数组），我只需要将mydata到tc_ctr_mode的简单提要字节循环，而不管mydata的维度。这是对的吗？

提前致谢。

Answer 1

1. 如果没有特定的计数器参数，计数器通常作为iv参数提供。

2. 输出长16个字节，因为计数器是前置的，计数器是块大小的，AES的块大小是16字节。

3. 计数器值不是机密值，需要解密。由于相同的密钥/计数器组合可以永远不会被重用如果密钥将被重用（常见情况），则计数器必须是唯一的，因此不能预先共享。一般的答案是将计数器值预先挂起到加密数据。

4. 是的，提供解密端先知道数组维度。但最好使用某种形式的marshaling来保留数组形状。