HTML5 本身不支持 CTR 模式加密,需依赖 Web Crypto API 实现 AES-CTR;其核心是唯一 nonce 与连续递增的 counter,适用于流式数据加密,但 Safari 尚不支持。
HTML5 本身不提供 CTR(Counter)模式加密能力,它没有内置的加密 API 支持对称分组密码的 CTR 模式操作。真正可用的是 Web Crypto API,它在现代浏览器中支持 AES-CTR,可用于安全地加密流式数据。
使用 Web Crypto API 实现 AES-CTR 加密
CTR 模式把块密码转换为流密码,适合处理大文件或实时流(如音视频、WebSocket 数据)。关键在于正确生成和管理计数器(counter)——它必须唯一且不可重复,否则会严重削弱安全性。
- 调用
window.crypto.subtle.encrypt({ name: "AES-CTR", counter, length }, key, data) -
counter是 Uint8Array 类型,通常为 16 字节(AES 块大小),高字节为初始值,低字节随加密自动递增 -
length表示 counter 中用于计数的位数(常见为 64 或 96),剩余位作为 nonce 固定部分 - 每次加密应使用新 key 或新 nonce+counter 组合,禁止复用
处理流数据的分块与连续计数器
对流数据(如 ReadableStream)加密时,不能简单分块独立加密。CTR 的计数器需全局连续,否则解密错位。
- 将流按 chunk 读取(如 64KB),但保持同一个
counter实例并手动递增低位(用自定义函数模拟进位) - 推荐使用
transformStream封装:输入明文流 → 加密 transformer → 输出密文流 - 注意:Web Crypto 的
encrypt()是异步 Promise,需 await 或链式处理,避免阻塞流管道
密钥与 nonce 的安全生成和传递
CTR 安全性高度依赖密钥保密性和 nonce/counter 唯一性。浏览器中应避免硬编码或从 URL 传密钥。
- 用
crypto.subtle.generateKey("AES-CTR", true, ["encrypt", "decrypt"])生成密钥 - nonce(即 counter 的固定前缀)建议用
crypto.getRandomValues(new Uint8Array(12))生成 12 字节 - 将 nonce 与密文一起传输(如 prepended 为前缀),接收方先提取再构造 counter 进行解密
- 切勿用时间戳、序号等可预测值充当 n
once
兼容性与降级注意事项
AES-CTR 在 Chrome 75+、Firefox 68+、Edge 79+ 支持,Safari 目前(截至 iOS 17 / macOS 14)仍不支持 AES-CTR,仅支持 CBC/GCM。
- 生产环境需检测:
if ("AES-CTR" in window.crypto.subtle.supportedAlgorithms) - 若不支持,可降级到 AES-GCM(更安全,带认证)或服务端加密 + HTTPS 传输
- 不要 fallback 到自行实现的 JS 加密库(如 CryptoJS),性能差且易出安全漏洞
