iPhone - 使用与加密所用 key 不同的 key 解密 AES 加密消息

Question

我只是使用 CCrypt 在 iPhone 上为 AES 编写基本的“加密”和“解密”方法。

我已经进行了一些测试，我真的很惊讶地发现，有时，如果您尝试使用与加密纯文本所用的 key 不同的 key 来解密加密文本，CCrypt 不会返回任何内容错误。

这是一个例子:

- (void) testDecryptTextWithTheWrongKey {
    NSData *encryptKey = [Base64 decodeBase64WithString:@"+LtNYThpgIlQs2CaL00R6AuG2C/i6U1Vt1+6wfFeFMk="];
    NSData *decryptKey = [Base64 decodeBase64WithString:@"yg7BvhM8npVGpAFpAESDn3IRWpe6qeQWaa1rwHiTsyU="];

    NSString *plainText = @"The text to be encrypted";
    NSData *plainTextData = [plainText dataUsingEncoding:NSUTF8StringEncoding];

    NSError *error = nil;
    NSData *encrypted = [LocalCrypto encryptText:plainTextData key:encryptKey error:&error];

    assertThat(error, nilValue());
    assertThat(encrypted, notNilValue());

    error = nil;
    NSData *decrypted = [LocalCrypto decryptText:encrypted key:decryptKey error:&error];

    assertThat(error, notNilValue());
    assertThat(decrypted, nilValue());
}

我在 LocalCrypto 中定义的加密和解密方法只是调用内部“executeCryptoOperation”方法，表明它们想要加密或解密:

+ (NSData *) executeCryptoOperation:(CCOperation)op key:(NSData *) key input:(NSData *) input error:(NSError **)error {
    size_t outLength;
    NSMutableData *output = [NSMutableData dataWithLength:input.length + kCCBlockSizeAES128];

    CCCryptorStatus result = CCCrypt(op,                    // operation
                                     kCCAlgorithmAES128,    // Algorithm
                                     kCCOptionPKCS7Padding | kCCOptionECBMode, // options
                                     key.bytes,             // key
                                     key.length,            // keylength
                                     nil,                   // iv
                                     input.bytes,           // dataIn
                                     input.length,          // dataInLength,
                                     output.mutableBytes,   // dataOut
                                     output.length,         // dataOutAvailable
                                     &outLength);           // dataOutMoved

    if (result == kCCSuccess) {
        output.length = outLength;
    } else {
        *error = [NSError errorWithDomain:kCryptoErrorDomain code:result userInfo:nil];
        return nil;
    }

    return output;
}

嗯，我的问题是:当我们尝试使用与加密期间使用的 key 不同的 key 解密加密文本时，CCrypt 返回 kCCSuccess 是否正常？我是否错过了什么或做错了什么？

确实，即使 CCrypt 返回解密成功，我也无法从结果数据中获取正确的 NSString，但我当然希望 CCrypt 在这种情况下返回某种错误(就像 Java 可能会做的那样) )。

如果这是正常行为，我该如何知道解密操作是否返回真正的纯文本或只是一堆没有任何意义的字节？

这里有一个类似的问题，但答案并不能真正说服我:Returning wrong decryption text when using invalid key

谢谢!

Answer 1

有些密码算法包含填充(例如 Java 实现中的 PKCS#5 填充)，有些则不包含填充。

如果您的加密算法使用填充，则相应的解密算法预计解密的明文中也将存在格式良好的填充。这可以作为一种廉价的部分完整性检查，因为如果 key 错误，输出可能不会有正确的填充。 (随机 n 字节 block (对于 AES，n=16)具有有效 PKCS#5 填充的机会是 1/256 + 1/(256^2) + ... + 1/(256^n) ，仅略高于 1/256 。)

这可能是你的 Objective-C CCCrypt函数不检查填充是否有效，仅检查其最后一个字节(甚至仅最后一个字节的某些位)，以查看填充了多少字节(现在要被截断)。

如果您想确定 key 是正确的，请对明文的某些已知部分进行加密，如果它不在解密部分中，则会出错。 (但不要在 ECB 模式下执行此操作，请参见下文。)

如果您还想确保数据未被修改，也可以使用 MAC ，或使用组合 authenticated encryption mode of operation用于您的分组密码。

另一个注意事项:您不应使用 ECB 模式，而应使用安全 mode of operation (关于本文中指出的并由您的实现支持的任何其他模式都可以 - 现在的标准是 CBC 或 CTR 模式)。某些模式(例如 CFB、OFB 和 CTR)根本不需要填充。