Как выбрать подходящий IV (вектор инициализации) для AES / CTR / NoPadding?

Я хотел бы зашифровать файлы cookie, создаваемые веб-приложением, и я хотел бы свести размер файлов cookie к минимуму, поэтому я выбрал AES / CTR / NoPadding.

Что бы вы порекомендовали использовать как IV, который достаточно случайный и по-прежнему сохраняет приложение без состояния. Я знаю, что могу просто сгенерировать случайный IV и добавить его в сообщение, но это увеличит размер файла cookie.

Кроме того, каков рекомендуемый размер IV для 128-битного AES?

Как еще все это делают? Существуют ли какие-нибудь «проверенные временем» способы? Я не хочу изобретать велосипед.