ruby - DES3 加密:ruby openssl::cipher 与 oracle dbms_obfuscation_toolkit

Question

我有一个用 PL/SQL 编写的遗留应用程序，它使用 3DES 加密和解密数据。现在我需要从 ruby​​ 应用程序执行类似的加密。最终生成的散列将需要由同一个 PL/SQL 应用程序使用其现有算法解密。

问题是我在 PL/SQL 和 Ruby 中获得了不同的加密结果，我不知道为什么。

首先这里是 PL/SQL 加密的工作原理:

来自 Oracle 关于 DBMS_OBFUSCATION_TOOLKIT 的文档 http://docs.oracle.com/cd/B19306_01/appdev.102/b14258/d_obtool.htm

“Oracle 的 3DES 实现支持外部密码 block 链接 (CBC) 模式下的 2 key 或 3 key 实现。”

函数签名:

DBMS_OBFUSCATION_TOOLKIT.DES3Encrypt(
input_string      IN     VARCHAR2,
key_string        IN     VARCHAR2,
encrypted_string  OUT    VARCHAR2,
which             IN     PLS_INTEGER  DEFAULT TwoKeyMode
iv_string         IN     VARCHAR2     DEFAULT NULL);

关于参数的注意事项:“如果 = 0，(默认)，则使用 TwoKeyMode。如果 = 1，则使用 ThreeKeyMode。”这帮助我选择了 ruby​​ 版本中的密码。

下面是应用程序如何进行调用:

set serveroutput on;
declare 
        v_encrypted varchar2(100);
begin  
  dbms_obfuscation_toolkit.des3encrypt(
    input_string => 'abcdefgh',       -- data to encrypt
    key_string => '16_byte_string_k', -- 16 byte = 128 bit key needed by DES3Encrypt
    encrypted_string => v_encrypted,
    iv_string => 'xxxxxxxx');         -- initialization vector
    dbms_output.put_line( lower(utl_raw.cast_to_raw(v_encrypted)) );
    -- prints 23ff779e88e2dbe1
end;

第二个是我在 Ruby 中尝试的:

OpenSSL::密码文档: http://www.ruby-doc.org/stdlib-1.9.3/libdoc/openssl/rdoc/OpenSSL/Cipher.html

OpenSSL 文档给我密码名称:来自 http://www.openssl.org/docs/apps/enc.html“des-ede-cbc CBC 模式下的两个 key 三重 DES EDE”

require 'openssl'

cipher = OpenSSL::Cipher.new('des-ede-cbc')
cipher.encrypt
input = 'abcdefgh'
cipher.key = '16_byte_string_k'
cipher.iv = 'xxxxxxxx'

# i noticed that cipher.update returns same length hash as PL/SQL
# if called without cipher.final, but you are not supposed to do that
#encrypted = cipher.update(input)
encrypted = cipher.update(input) + cipher.final

hex_representation = encrypted.unpack("H*")

puts hex_representation
# prints a5cfc96485d7203eb929c28ceb9fcd53

如代码所示，ruby 版本计算不同的哈希值。为什么？需要更改什么才能使它们保持一致？

我不确定的点:

• des-ede-cbc 是否和 Oracle 一样。
• utl_raw.cast_to_raw 和 unpack("H*") 是否会做同样的事情到加密的二进制数据。
• cipher.final 到底附加了什么，如果有任何等价物在 PL/SQL 中附加该数据的方法。

注意:我知道 DES 不安全，AES 已取代它。我的用例不要求这些哈希是牢不可破的。重要的要求是使哈希值一致，以便 PL/SQL 应用程序可以解密由 ruby​​ 应用程序生成的哈希值。

Answer 1

让我们开始挖掘吧!

['des-cbc', 'des', 'des-cfb', 'des-ofb', 'des-ecb',
 'des-ede-cbc', 'des-ede', 'des-ede-cfb', 'des-ede-ofb', 
 'des-ede3-cbc', 'des-ede3', 'des3', 'des-ede3-cfb', 
 'des-ede3-ofb', 'desx'].each do |flavour|
  begin
    c = OpenSSL::Cipher.new flavour
    c.encrypt
    c.key = '16_byte_string_k'
    c.iv = 'xxxxxxxx'
    str = 'abcdefgh'
    enc = c.update(str) + c.final
    puts "#{flavour} gives us #{enc.unpack('H*')}"
  rescue => e
    puts "#{flavour} didn't work because #{e.message}"
  end
end

结果:

des-cbc gives us ["a5cfc96485d7203eb929c28ceb9fcd53"]
des gives us ["a5cfc96485d7203eb929c28ceb9fcd53"]
des-cfb gives us ["d898369e91589ae8"]
des-ofb gives us ["d898369e91589ae8"]
des-ecb gives us ["de8579b342a528b6143594946045d91a"]
des-ede-cbc gives us ["23ff779e88e2dbe1c009dc3105d8ff88"]
des-ede gives us ["0e589e3d85ac83efbb271a2e4a77cf4e"]
des-ede-cfb gives us ["1618988004b6a948"]
des-ede-ofb gives us ["1618988004b6a948"]
des-ede3-cbc didn't work because key length too short
des-ede3 didn't work because key length too short
des3 didn't work because key length too short
des-ede3-cfb didn't work because key length too short
des-ede3-ofb didn't work because key length too short
desx didn't work because key length too short

des-ede-cbc 为您提供匹配项——至少第一部分匹配。问题来了，为什么加密后的body变长了？我敢打赌这是正确的内容，并且 PL/SQL 版本以某种方式被截断了——我会看看我是否能弄清楚。

编辑:不，是填充。当您将密码上的填充设置为 0 时，您会得到与 PL/SQL 版本相同的结果，例如

['des-cbc', 'des', 'des-cfb', 'des-ofb', 'des-ecb',
 'des-ede-cbc', 'des-ede', 'des-ede-cfb', 'des-ede-ofb', 
 'des-ede3-cbc', 'des-ede3', 'des3', 'des-ede3-cfb', 
 'des-ede3-ofb', 'desx'].each do |flavour|
  begin
    c = OpenSSL::Cipher.new flavour
    c.encrypt
    c.key = '16_byte_string_k'
    c.iv = 'xxxxxxxx'
    c.padding = 0 # This is the important part!
    str = 'abcdefgh'
    enc = c.update(str) + c.final
    puts "#{flavour} gives us #{enc.unpack('H*')}"
  rescue => e
    puts "#{flavour} didn't work because #{e.message}"
  end
end

...
des-ede-cbc gives us ["23ff779e88e2dbe1"]
...

您现在需要比较具有不同输入字符串长度的两种算法。在此处查看填充方法的文档:http://www.ruby-doc.org/stdlib-2.0.0/libdoc/openssl/rdoc/OpenSSL/Cipher.html