gpt4 book ai didi

javascript - 如何在 Python 中从 JavaScript CryptoJS.AES.encrypt(password, passphrase) 解密密码

转载 作者:太空狗 更新时间:2023-10-29 19:35:08 25 4
gpt4 key购买 nike

我有一个通过 JavaScript 加密的密码

  var password = 'sample'
var passphrase ='sample_passphrase'
CryptoJS.AES.encrypt(password, passphrase)

然后我尝试在Python中解密来自JavaScript的密码:

  from Crypto.Cipher import AES
import base64

PADDING = '\0'

pad_it = lambda s: s+(16 - len(s)%16)*PADDING
key = 'sample_passphrase'
iv='11.0.0.101' #------> here is my question, how can I get this iv to restore password, what should I put here?
key=pad_it(key) #------> should I add padding to keys and iv?
iv=pad_it(iv) ##
source = 'sample'
generator = AES.new(key, AES.MODE_CFB,iv)
crypt = generator.encrypt(pad_it(source))
cryptedStr = base64.b64encode(crypt)
print cryptedStr
generator = AES.new(key, AES.MODE_CBC,iv)
recovery = generator.decrypt(crypt)
print recovery.rstrip(PADDING)

我从浏览器控制台检查了 JS,它在 CryptoJS.AES.encrypt(password, passphrase) 中显示 IV 是一个具有某些属性的对象(如 sigBytes:16, words: [- 44073646、-1300128421、1939444916、881316061])。它似乎是随机生成的。

从一个网页上,它告诉我 JS 有两种加密密码的方法( reference link ):

  • a. crypto.createCipher(algorithm, password)
  • b. crypto.createCipheriv(algorithm, key, iv)

我在JavaScript中看到的应该是选项a。但是,只有选项 b 等同于 python 中的 AES.new()。

问题是:

  1. 如何在不更改 JavaScript 代码的情况下在 Python 中恢复此密码?

  2. 如果我需要 Python 中的 IV,我如何从 JavaScript 中使用的密码中获取它?

最佳答案

您必须实现 OpenSSL 的 EVP_BytesToKey ,因为这是 CryptoJS 用来从提供的密码派生 key 和 IV 的方式,但是 pyCrypto 只支持 key +IV 类型的加密。 CryptoJS 还生成一个随机盐,它也必须发送到服务器。如果密文对象被转换为字符串,那么它会自动使用包含随机盐的 OpenSSL 兼容格式。

var data = "Some semi-long text for testing";
var password = "some password";
var ctObj = CryptoJS.AES.encrypt(data, password);
var ctStr = ctObj.toString();

out.innerHTML = ctStr;
<script src="https://cdn.rawgit.com/CryptoStore/crypto-js/3.1.2/build/rollups/aes.js"></script>
<div id="out"></div>

可能的输出:

U2FsdGVkX1+ATH716DgsfPGjzmvhr+7+pzYfUzR+25u0D7Z5Lw04IJ+LmvPXJMpz

对于 AES、PKCS#7 填充和 CBC 模式,CryptoJS 默认使用 256 位 key 大小。 AES 具有 128 位 block 大小,这也是 IV 大小。这意味着我们必须从 EVP_BytesToKey 请求 32+16 = 48 字节。我找到了一个半功能实现 here并进一步扩展。

这里是完整的 Python(用 2.7 和 3.4 测试)代码,它与 CryptoJS 兼容:

from Cryptodome import Random
from Cryptodome.Cipher import AES
import base64
from hashlib import md5

BLOCK_SIZE = 16

def pad(data):
length = BLOCK_SIZE - (len(data) % BLOCK_SIZE)
return data + (chr(length)*length).encode()

def unpad(data):
return data[:-(data[-1] if type(data[-1]) == int else ord(data[-1]))]

def bytes_to_key(data, salt, output=48):
# extended from https://gist.github.com/gsakkis/4546068
assert len(salt) == 8, len(salt)
data += salt
key = md5(data).digest()
final_key = key
while len(final_key) < output:
key = md5(key + data).digest()
final_key += key
return final_key[:output]

def encrypt(message, passphrase):
salt = Random.new().read(8)
key_iv = bytes_to_key(passphrase, salt, 32+16)
key = key_iv[:32]
iv = key_iv[32:]
aes = AES.new(key, AES.MODE_CBC, iv)
return base64.b64encode(b"Salted__" + salt + aes.encrypt(pad(message)))

def decrypt(encrypted, passphrase):
encrypted = base64.b64decode(encrypted)
assert encrypted[0:8] == b"Salted__"
salt = encrypted[8:16]
key_iv = bytes_to_key(passphrase, salt, 32+16)
key = key_iv[:32]
iv = key_iv[32:]
aes = AES.new(key, AES.MODE_CBC, iv)
return unpad(aes.decrypt(encrypted[16:]))


password = "some password".encode()
ct_b64 = "U2FsdGVkX1+ATH716DgsfPGjzmvhr+7+pzYfUzR+25u0D7Z5Lw04IJ+LmvPXJMpz"

pt = decrypt(ct_b64, password)
print("pt", pt)

print("pt", decrypt(encrypt(pt, password), password))

类似的代码可以在我对 Java 的回答中找到和 PHP .

没有 HTTPS 的浏览器中的 JavaScript AES 加密是简单的混淆,不提供任何真正的安全性,因为 key 必须与密文一起传输。

[更新]:

should use pycryptodome instead of pycrypto因为 pycrypto( latest pypi version is 2.6.1 ) 不再维护并且它有漏洞 CVE-2013-7459CVE-2018-6594 (github 报告的 CVE 警告)。我在这里选择pycryptodomex包(Cryptodome替换代码中的Crypto)而不是pycryptodometo avoid conflict name使用来自 pycrypto 包的 Crypto

关于javascript - 如何在 Python 中从 JavaScript CryptoJS.AES.encrypt(password, passphrase) 解密密码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36762098/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com