Как получить IV и ключ к crypto.createCipheriv для расшифровки?

Я видел другие вопросы о создании вектора инициализации (IV) для шифрование, и кажется, что использование случайного значения является одним из вариантов. Однако мне нужно сгенерировать IV для расшифровки, поэтому я должен использовать тот же, которым данные были зашифрованы на основе некоторой соли.

Функция шифрования node.js createDecipher говорит:

Реализация crypto.createDecipher() извлекает ключи с помощью функции OpenSSL EVP_BytesToKey с алгоритмом дайджеста, установленным на MD5, одну итерацию и без соли.

Для обратной совместимости с активами, зашифрованными другим программным обеспечением, мне нужно другое количество итераций и соль, которую я укажу.

Продолжая читать документацию, далее говорится:

В соответствии с рекомендацией OpenSSL использовать PBKDF2 вместо EVP_BytesToKey, разработчикам рекомендуется самостоятельно получать ключ и IV с помощью crypto.pbkdf2() и использовать crypto.createDecipheriv() для создания объекта Decipher.

ОК, это звучит хорошо. Данные, которые мне нужно расшифровать, были зашифрованы с использованием EVP_BytesToKey для получения ключа и IV, поэтому мне нужно быть совместимым с этим.

В любом случае, функция crypto.pbkdf2 принимает все необходимые мне параметры, но проблема в том, что он не создает вектор инициализации.

Соответствующий код C, который выполнял расшифровку, с которой это должно быть совместимо, выглядит следующим образом:

// parameters to function:
// unsigned char *decrypt_salt
// int nrounds
// unsigned char *decrypt_key_data  <- the password
//  int decrypt_key_data_len <- password length

// the following is not initialized before the call to EVP_BytesToKey
unsigned char decrypt_key[32], decrypt_iv[32];

EVP_BytesToKey(EVP_aes_256_cbc(), EVP_md5(), decrypt_salt, decrypt_key_data,
                   decrypt_key_data_len, nrounds, decrypt_key, decrypt_iv);

Моя попытка использовать crypto.pbkdf2 для воспроизведения этого поведения:

crypto.pbkdf2(password, salt, nrounds, 32, "md5", (err, derivedKey) => {
    if (err) throw err
    console.log(derivedKey.toString("hex"))
})

derivedKey также не соответствует ключу, созданному кодом C выше. Я не уверен, что это даже ожидается! Я также пробовал длины ключей 48 и 64, но они также не генерировали ничего похожего на ожидаемый ключ и IV.

Учитывая правильный пароль, соль и раунды хеширования, как мне сгенерировать тот же ключ и IV для расшифровки?


node.js encryption aes cryptography pbkdf2
person Michael    schedule 28.02.2018    source источник

Ответы (1)


arrow_upward
12
arrow_downward

Для начала, причина, по которой вы не получаете желаемого результата, заключается в том, что ваш код C действительно использует EVP_BytesToKey, тогда как ваш код NodeJS использует PBKDF2. Я думаю, вы могли неправильно понять рекомендацию OpenSSL. Они рекомендуют PBKDF2 не как лучший способ получить тот же результат, а как лучший способ решить проблему. PBKDF2 — это просто лучшая функция получения ключа, но она не даст такого же результата, как EVP_BytesToKey.

Кроме того, то, как вы обращаетесь со своим поколением IV, в первую очередь, довольно плохо. Использование KDF для генерации вашего ключа превосходно, молодец. Откровенно говоря, использование KDF для генерации IV — довольно плохая идея. Ваши первоначальные показания, в которых вы обнаружили, что случайная генерация IV является хорошей идеей, верны. Все IV/нонсы должны генерироваться случайным образом. Всегда. Здесь важно помнить, что IV не является секретом. Вы можете пройти его публично.

Большинство реализаций будут случайным образом генерировать IV, а затем добавлять его к зашифрованному тексту. Затем, когда дело доходит до расшифровки, вы можете просто удалить первые 128-битные (AES) байты и использовать их в качестве IV. Это охватывает все ваши основы и означает, что вам не нужно получать свой IV из того же места, что и ключевой материал (что противно).

Для получения дополнительной информации см. примеры в этом репозитории GitHub. Ниже я включил NodeJS, который является примером передового современного шифрования в NodeJS:

const crypto = require("crypto");

const ALGORITHM_NAME = "aes-128-gcm";
const ALGORITHM_NONCE_SIZE = 12;
const ALGORITHM_TAG_SIZE = 16;
const ALGORITHM_KEY_SIZE = 16;
const PBKDF2_NAME = "sha256";
const PBKDF2_SALT_SIZE = 16;
const PBKDF2_ITERATIONS = 32767;

function encryptString(plaintext, password) {
    // Generate a 128-bit salt using a CSPRNG.
    let salt = crypto.randomBytes(PBKDF2_SALT_SIZE);

    // Derive a key using PBKDF2.
    let key = crypto.pbkdf2Sync(new Buffer(password, "utf8"), salt, PBKDF2_ITERATIONS, ALGORITHM_KEY_SIZE, PBKDF2_NAME);

    // Encrypt and prepend salt.
    let ciphertextAndNonceAndSalt = Buffer.concat([ salt, encrypt(new Buffer(plaintext, "utf8"), key) ]);

    // Return as base64 string.
    return ciphertextAndNonceAndSalt.toString("base64");
}

function decryptString(base64CiphertextAndNonceAndSalt, password) {
    // Decode the base64.
    let ciphertextAndNonceAndSalt = new Buffer(base64CiphertextAndNonceAndSalt, "base64");

    // Create buffers of salt and ciphertextAndNonce.
    let salt = ciphertextAndNonceAndSalt.slice(0, PBKDF2_SALT_SIZE);
    let ciphertextAndNonce = ciphertextAndNonceAndSalt.slice(PBKDF2_SALT_SIZE);

    // Derive the key using PBKDF2.
    let key = crypto.pbkdf2Sync(new Buffer(password, "utf8"), salt, PBKDF2_ITERATIONS, ALGORITHM_KEY_SIZE, PBKDF2_NAME);

    // Decrypt and return result.
    return decrypt(ciphertextAndNonce, key).toString("utf8");
}

function encrypt(plaintext, key) {
    // Generate a 96-bit nonce using a CSPRNG.
    let nonce = crypto.randomBytes(ALGORITHM_NONCE_SIZE);

    // Create the cipher instance.
    let cipher = crypto.createCipheriv(ALGORITHM_NAME, key, nonce);

    // Encrypt and prepend nonce.
    let ciphertext = Buffer.concat([ cipher.update(plaintext), cipher.final() ]);

    return Buffer.concat([ nonce, ciphertext, cipher.getAuthTag() ]);
}

function decrypt(ciphertextAndNonce, key) {
    // Create buffers of nonce, ciphertext and tag.
    let nonce = ciphertextAndNonce.slice(0, ALGORITHM_NONCE_SIZE);
    let ciphertext = ciphertextAndNonce.slice(ALGORITHM_NONCE_SIZE, ciphertextAndNonce.length - ALGORITHM_TAG_SIZE);
    let tag = ciphertextAndNonce.slice(ciphertext.length + ALGORITHM_NONCE_SIZE);

    // Create the cipher instance.
    let cipher = crypto.createDecipheriv(ALGORITHM_NAME, key, nonce);

    // Decrypt and return result.
    cipher.setAuthTag(tag);
    return Buffer.concat([ cipher.update(ciphertext), cipher.final() ]);
}
person Luke Joshua Park    schedule 28.02.2018
comment
Эй, Люк, просто хотел уточнить ваше заявление. Все IV/нонсы должны генерироваться случайным образом. Всегда. Вы имели в виду всегда на этапе шифрования или? Мы не можем расшифровать что-то с случайно сгенерированным IV/nonce, я прав? Так что это причина, по которой мы должны отправлять соль И IV/одноразовый номер с зашифрованным текстом. Заранее спасибо! - person Artiom; 10.04.2019
comment
Привет @Artiom, да, это правильно. IV/nonce, используемые для шифрования, всегда должны генерироваться случайным образом. Как вы правильно заметили, IV/nonce, используемый во время расшифровки, должен быть тем же, что и во время шифрования. - person Luke Joshua Park; 10.04.2019