CTR

パディングが不要、ストリーム暗号にも利用可能

IV 初期 nonce 96bit ぐらい

counter 32bitぐらい

IV とcounter を合わせて128bitにして暗号化、ストリームとXORする

入力

IVC = IV + counter で128bit

C = encrypt(IVC) XOR M

counter++

return C

counter++ しながら IVC から暗号化することで連続した乱数を生成する

メッセージと XOR することでストリーム暗号として利用可能

同じnonce、counter を利用しないこと

IV 128bitにしてカウントしてもよさそう

認証付きの

にも使われる