The Counter mode with encrypted nonces and its extension to authenticated encryption

В модифицированном режиме CTR (счетчика), известном как CTR2, синхропосылки зашифровываются перед тем, как по ним строятся последовательности счетчиков. Гарантии неперекрытия последовательностей становятся вероятностными. Показано, что эти гарантии, а следовательно, и гарантии стойкости CTR2, достаточно высоки в двух стандартных сценариях: случайные синхропосылки и неповторяющиеся синхропосылки. Предложен способ расширения CTR2 до режима аутентифицированного шифрования Counter-Hash-Encrypt (CHE). В CHE дополнительно к CTR2 требуются одно полиномиальное хэширование и одно зашифрование блока.