javascript - CryptoJS，检查 AES 密码是否正确

Question

var encrypted = CryptoJS.AES.encrypt("Message", "Secret Passphrase");

var decrypted = CryptoJS.AES.decrypt(encrypted, "Secret Passphrase");

假设加密和解密阶段是分开的(发生在程序的不同部分)，我有什么方法可以检查 "Secret Passphrase" 在解密阶段是否正确？

我注意到使用错误的密码进行解密会导致 decrypted.toString() 为空字符串。如果原始消息也是一个空字符串怎么办？没有其他参数可以用来检查密码是否确实正确吗？

---

附注

我当前的解决方案:始终创建一个非空的控制值，用密码加密。如果控制值解密为“”，则密码不正确。

编辑:结果我的解决方案不起作用。非常相似的密码短语将消息解密为不同的值，这些值仍然不同于空字符串。安全性没有受到影响，但我仍然无法查看密码是否正确。

this is my very cool key! 和 this is my verycool key!! 都返回一个字符串，尽管只有第一个是实际使用的密码加密。

编辑 2:从错误密码返回的字符串不是有效的 UTF-8。因此，调用 value.toString(CryptoJS.enc.Utf8) 会返回错误。我可以使用此错误来检查密码是否正确。不过，这种解决方案非常糟糕!

Answer 1

您刚刚偶然发现了消息 secret 性和消息完整性/身份验证之间微妙但重要的区别。

secret 性是您当前正在做的事情，它确保在没有关联 key 的情况下无法在传输过程中读取消息，但无法确保消息在传输过程中未被更改(对早期加密系统的攻击涉及修改用于注入(inject)或揭示有关加密系统信息的加密消息)。您的问题是这种情况的一种变体，如果您碰巧找到了将“投降”消息解密为“轰炸”的 key ，那么就无法知道他们的 key 已被切换。

完整性处理首先确保解密的内容是实际加密的内容，并且还可以根据使用的模型确保身份验证(谁加密它)。使用 mode of operation 可以最好地实现完整性。本质上支持它，例如 GCM但粗略一看，crypto-js 不支持任何完整性模式。

这为您提供了一种手动方法，需要生成和发送 HMAC以及加密的消息。

var message = "Message";
var passphrase = "Secret Passphrase";
var encrypted = CryptoJS.AES.encrypt(message, passphrase).toString();
var hmac = CryptoJS.HmacSHA256(encrypted, CryptoJS.SHA256(passphrase)).toString();
var transitmessage = hmac + encrypted;

//other side

var transithmac = transitmessage.substring(0, 64);
var transitencrypted = transitmessage.substring(64);
var decryptedhmac = CryptoJS.HmacSHA256(transitencrypted, CryptoJS.SHA256(passphrase)).toString();
alert(transithmac == decryptedhmac);
var decrypted = CryptoJS.AES.decrypt(transitencrypted, passphrase).toString(CryptoJS.enc.Utf8);
alert(decrypted.toString(CryptoJS.enc.Utf8));

理论上，IV 也应该在 HMAC 调用之前添加到加密消息之前，但我不确定如何使用 crypto-js 将 IV 取出，我希望保持这个示例足够简单，除非你期望作为 NSA 的目标，这应该足够了，因为 IV 已经修改了加密的消息。