ios - AES128 在 iOS 7 上截断解密文本，在 iOS 8 上没有问题

Question

使用使用 ECB 模式(这是玩具加密)和 PKCS7 填充的 AES128 加密的密文，以下代码块导致在 iOS 8 下恢复完整的明文。

在 iOS 7 下运行相同的代码块会产生正确的纯文本，但会被截断。这是为什么？

#import "NSData+AESCrypt.h" // <-- a category with the below function
#import <CommonCrypto/CommonCryptor.h>

- (NSData *)AES128Operation:(CCOperation)operation key:(NSString *)key iv:(NSString *)iv
{
    char keyPtr[kCCKeySizeAES128 + 1];
    bzero(keyPtr, sizeof(keyPtr));
    [key getCString:keyPtr maxLength:sizeof(keyPtr) encoding:NSUTF8StringEncoding];

    char ivPtr[kCCBlockSizeAES128 + 1];
    bzero(ivPtr, sizeof(ivPtr));
    if (iv) {
        [iv getCString:ivPtr maxLength:sizeof(ivPtr) encoding:NSUTF8StringEncoding];
    }

    NSUInteger dataLength = [self length];                      
    size_t bufferSize = dataLength + kCCBlockSizeAES128;        
    void *buffer = malloc(bufferSize);

    size_t numBytesEncrypted = 0;
    CCCryptorStatus cryptStatus = CCCrypt(operation,
                                          kCCAlgorithmAES128,
                                          kCCOptionPKCS7Padding | kCCOptionECBMode,
                                          keyPtr,               
                                          kCCBlockSizeAES128,   
                                          ivPtr,                
                                          [self bytes],
                                          dataLength,           
                                          buffer,
                                          bufferSize,           
                                          &numBytesEncrypted);  
    if (cryptStatus == kCCSuccess) {
        return [NSData dataWithBytesNoCopy:buffer length:numBytesEncrypted];
    }
    free(buffer);
    return nil;
}

我在下面添加了一个独立的测试工具和结果。

测试工具:

NSString *key = @"1234567890ABCDEF";
NSString *ciphertext = @"I9JIk5BskZMZKJFB/EAs+N2AYzkVR15DoBbUL7cBydBkWGlujVnzRHvBNvSVbcKh";

NSData *encData = [[NSData alloc]initWithBase64EncodedString:ciphertext options:0];
NSData *plainData = [encData AES128Operation:kCCDecrypt key:key iv:nil];

NSString *plaintext = [NSString stringWithUTF8String:[plainData bytes]];

DLog(@"key: %@\nciphertext: %@\nplaintext: %@", key, ciphertext, plaintext);

iOS 8 结果:

key: 1234567890ABCDEF
ciphertext: I9JIk5BskZMZKJFB/EAs+N2AYzkVR15DoBbUL7cBydBkWGlujVnzRHvBNvSVbcKh
plaintext: the quick brown fox jumped over the fence

iOS 7 结果:

key: 1234567890ABCDEF
ciphertext: I9JIk5BskZMZKJFB/EAs+N2AYzkVR15DoBbUL7cBydBkWGlujVnzRHvBNvSVbcKh
plaintext: the quick brown fox jumped over 0

及后续结果:

plaintext: the quick brown fox jumped over 
plaintext: the quick brown fox jumped over *

---

更新:给我谜语:当我改变的时候

kCCOptionPKCS7Padding | kCCOptionECBMode ⇒ kCCOptionECBMode

iOS 7 中的结果符合预期。为什么是这样？？我知道字节数是 block 对齐的，因为密文是用 PKCS7 填充填充的，所以这是有道理的，但为什么要设置 kCCOptionPKCS7Padding | kCCOptionECBMode 仅在 iOS 7 中导致截断行为？

---

编辑:上面的测试密文是从 this web site 生成的，并在以下函数中独立使用 PHP 的 mcrypt 和手动 PKCS7 填充:

function encryptAES128WithPKCS7($message, $key)
{
    if (mb_strlen($key, '8bit') !== 16) {
        throw new Exception("Needs a 128-bit key!");
    }

    // Add PKCS7 Padding
    $block = mcrypt_get_block_size(MCRYPT_RIJNDAEL_128);
    $pad = $block - (mb_strlen($message, '8bit') % $block);
    $message .= str_repeat(chr($pad), $pad);

    $ciphertext = mcrypt_encrypt(
        MCRYPT_RIJNDAEL_128,
        $key,
        $message,
        MCRYPT_MODE_ECB
    );

    return $ciphertext;
}

// Demonstration encryption
echo base64_encode(encryptAES128WithPKCS7("the quick brown fox jumped over the fence", "1234567890ABCDEF"));

输出:

I9JIk5BskZMZKJFB/EAs+N2AYzkVR15DoBbUL7cBydBkWGlujVnzRHvBNvSVbcKh

---

更新:正确的 PKCS#7 填充密文将是

I9JIk5BskZMZKJFB/EAs+N2AYzkVR15DoBbUL7cBydA6aE5a3JrRst9Gn3sb3heC

Here 是为什么不是。

Answer 1

数据未使用 PKCS#7 填充加密，而是使用空填充加密。您可以通过记录 plainData 来判断这一点:

NSData *fullData = [NSData dataWithBytes:buffer length:dataLength];
NSLog(@"\nfullData: %@", fullData);

输出:
纯数据:74686520 71756963 6b206272 6f776e20 666f7820 6a756d70 6564206f 76657220 74686520 66656e63 65000000 00000000

PHP mcrypt 方法执行此操作，它是非标准的。

mcrypt()，虽然很流行，但它是由一些笨蛋编写的，并使用非标准的空填充，这既不安全，也不会在数据的最后一个字节为 0x00 时起作用。

如果填充明显不正确，早期版本的 CCCrypt 会返回一个错误，这是一个安全错误，后来被纠正了。 IIRC iOS7 是最后一个将错误填充报告为错误的版本。

解决方案是在加密之前添加 PKCS#7 填充:

PKCS#7 填充总是添加填充。填充是一系列字节，其值是添加的填充字节数。填充的长度是 block_size - (length(data) % block_size.

对于 block 为 16 字节的 AES(并希望 php 有效，已经有一段时间了):

$pad_count = 16 - (strlen($data) % 16);
$data .= str_repeat(chr($pad_count), $pad_count);

或者解密后删除尾随的 0x00 字节。

参见 PKCS7 .

如果填充明显不正确，早期版本的 CCCrypt 会返回一个错误，这是一个安全错误，后来被纠正了。这在 Apple 论坛中被多次提及，Quinn 参与了很多讨论。但这是一个安全漏洞，因此奇偶校验被删除，一些开发人员感到不安/敌对。现在，如果奇偶校验不正确，则不会报告错误。