暗号文が攻撃者によって変更されていないことを調べるために、「認証された暗号化」を使用することを強く推奨します。認証は、攻撃者がシステムに任意のメッセージの復号を依頼し、その結果を使用して秘密鍵に関する情報を推測することができる、chosen-ciphertext 攻撃からの防御を支援します。 CTR モードと CBC モードに認証を追加することは可能ですが、既定値では提供されておらず、手動で実装するために些細な、しかし重大な間違いを犯す可能性があります。 GCM は組み込みの認証を提供し、そのため他の 2 種類の AES モードよりも推奨されることが多いです。

RSA-OAEP

RSA-OAEP 公開鍵暗号システムは、 RFC 3447 で定義されています。

AES-CTR

これは AES のカウンターモードの表現であり、 NIST SP800-38A で定義されています。

AES はブロック暗号であり、メッセージをブロックに分割し、一度に 1 ブロックずつ暗号化することを意味しています。 CTR モードでは、メッセージのブロックが暗号化されるたびに、データの余分なブロックが混合されます。この余分なブロックは「カウンターブロック」と呼ばれます。

指定されたカウンターブロックの値は、同じ鍵で複数回使用してはいけません。

n ブロックの長さのメッセージが指定された場合、ブロックごとに異なるカウンターブロックを使用しなければなりません。
複数のメッセージの暗号化に同じ鍵を用いる場合、すべてのメッセージのすべてのブロックに異なるカウンターブロックを使用しなければなりません。

通常これは、カウンターブロックの初期値を 2 つの連結部分に分割することで実現されます。

ノンス（つまり、一度しか使用しない番号）。ブロックのノンスの部分はメッセージのどのブロックでも同じです。新しいメッセージが暗号化される時刻になると、新しいノンスが選べます。ノンスは秘密である必要はありませんが、同じ鍵で再利用してはいけません。
カウンター。この部分はブロックが暗号化されるたびに増加します。

基本的には、ノンスはカウンターブロックが一つのメッセージから次のメッセージに再利用されないことを保証し、カウンターはカウンターブロックが単一のメッセージ内で再利用されないことを保証します。

メモ: 詳しくは Appendix B of the NIST SP800-38A standard を参照してください。

js
function getMessageEncoding() {
  const messageBox = document.querySelector(".rsa-oaep #message");
  let message = messageBox.value;
  let enc = new TextEncoder();
  return enc.encode(message);
}

function encryptMessage(publicKey) {
  let encoded = getMessageEncoding();
  return window.crypto.subtle.encrypt(
    {
      name: "RSA-OAEP",
    },
    publicKey,
    encoded,
  );
}

AES-CTR

このコードはテキストボックスのコンテンツを読み取り、暗号化のためにエンコードし、 CTR モードで AES を使用して暗号化します。 GitHub で完全なコードを確認してください。

js
function getMessageEncoding() {
  const messageBox = document.querySelector(".aes-ctr #message");
  let message = messageBox.value;
  let enc = new TextEncoder();
  return enc.encode(message);
}

function encryptMessage(key) {
  let encoded = getMessageEncoding();
  // counter will be needed for decryption
  counter = window.crypto.getRandomValues(new Uint8Array(16));
  return window.crypto.subtle.encrypt(
    {
      name: "AES-CTR",
      counter,
      length: 64,
    },
    key,
    encoded,
  );
}

js
let iv = window.crypto.getRandomValues(new Uint8Array(16));
let key = window.crypto.getRandomValues(new Uint8Array(16));
let data = new Uint8Array(12345);
// crypto functions are wrapped in promises so we have to use await and make sure the function that
// contains this code is an async function
// encrypt function wants a cryptokey object
const key_encoded = await crypto.subtle.importKey(
  "raw",
  key.buffer,
  "AES-CTR",
  false,
  ["encrypt", "decrypt"],
);
const encrypted_content = await window.crypto.subtle.encrypt(
  {
    name: "AES-CTR",
    counter: iv,
    length: 128,
  },
  key_encoded,
  data,
);

// Uint8Array
console.log(encrypted_content);

AES-CBC

このコードはテキストボックスのコンテンツを読み取り、暗号化のためにエンコードし、 CBC モードで AES を使用して暗号化します。 GitHub で完全なコードを確認してください。

js
function getMessageEncoding() {
  const messageBox = document.querySelector(".aes-cbc #message");
  let message = messageBox.value;
  let enc = new TextEncoder();
  return enc.encode(message);
}

function encryptMessage(key) {
  let encoded = getMessageEncoding();
  // iv will be needed for decryption
  iv = window.crypto.getRandomValues(new Uint8Array(16));
  return window.crypto.subtle.encrypt(
    {
      name: "AES-CBC",
      iv: iv,
    },
    key,
    encoded,
  );
}

AES-GCM

このコードはテキストボックスのコンテンツを読み取り、暗号化のためにエンコードし、 GCM モードで AES を使用して暗号化します。 GitHub で完全なコードを確認してください。

js
function getMessageEncoding() {
  const messageBox = document.querySelector(".aes-gcm #message");
  const message = messageBox.value;
  const enc = new TextEncoder();
  return enc.encode(message);
}

function encryptMessage(key) {
  const encoded = getMessageEncoding();
  // iv will be needed for decryption
  const iv = window.crypto.getRandomValues(new Uint8Array(12));
  return window.crypto.subtle.encrypt(
    { name: "AES-GCM", iv: iv },
    key,
    encoded,
  );
}