目前,我们的系统上有一个 mcrypt 实现,可以在我们的 PHP 应用程序中加密一些敏感数据。现在我们有一个新要求,我们必须将 crypt 模块更改为 openssl。另一件重要的事情是我们正在使用密码河豚和模式 ecb。所以我开始测试有什么区别以及如何用openssl解密mcrypt加密字符串。
我使用了标准的PHP函数:
- mcrypt_encrypt 与 openssl_encrypt
- mcrypt_decrypt 与 openssl_decrypt
两种方法都提供不同的结果。第二件事是,在给定的密码 (blowfish) 和模式 (ecb) 中,两种类型都需要不同的 IV 长度(openssl=0 和 mcrypt=56)。
有人知道我如何无需大量迁移工作即可轻松更改模块吗?
提前致谢!
更新:
这是我测试过的代码:
<?php
function say($message){
if(!is_string($message)){
if(!isset($_SERVER["HTTP_USER_AGENT"])) echo "<pre>";
echo var_export($message, true) . ((!isset($_SERVER["HTTP_USER_AGENT"]) ? "\n" : "<br />"));
if(!isset($_SERVER["HTTP_USER_AGENT"])) echo "</pre>";
}else{
echo $message . ((!isset($_SERVER["HTTP_USER_AGENT"]) ? "\n" : "<br />"));
}
}
say("= Begin raw encryption");
$key = "anotherpass";
$str = "does it work";
say(" Params:");
say(" - String to encrypt '".$str."'");
say(" - Key: ".$key);
say("");
$params = array(
"openssl" => array(
"cipher" => "BF",
"mode" => "ECB",
),
"mcrypt" => array(
"cipher" => "blowfish",
"mode" => "ecb",
),
);
say("= Mcrypt");
$handler = mcrypt_module_open($params['mcrypt']['cipher'], '', $params['mcrypt']['mode'], '');
$iv = mcrypt_create_iv (mcrypt_enc_get_iv_size($handler), MCRYPT_RAND);
$keysize = mcrypt_enc_get_key_size($handler);
mcrypt_generic_init($handler,$key,"\0\0\0\0\0\0\0\0");
say(" Params:");
say(" - InitVector ".bin2hex($iv)." (bin2hex)");
say(" - Max keysize ".$keysize);
say(" - Cipher ".$params['mcrypt']['cipher']);
say(" - Mode ".$params['mcrypt']['mode']);
say("");
say(" Encryption:");
$m_encrypted = mcrypt_generic($handler, $str);
$m_decrypted = mdecrypt_generic($handler, $m_encrypted);
say(" - Encrypted ".bin2hex($m_encrypted)." (bin2hex)");
say(" - Descrypted ".$m_decrypted);
say("");
say("= Openssl");
say(" Params:");
say(" - InitVector not needed");
say(" - Max keysize ".openssl_cipher_iv_length($params['openssl']['cipher']."-".$params['openssl']['mode']));
say(" - Cipher ".$params['openssl']['cipher']);
say(" - Mode ".$params['openssl']['mode']);
say("");
say(" Encryption:");
$o_encrypted = openssl_encrypt($str,$params['openssl']['cipher']."-".$params['openssl']['mode'],$key,true);
$o_decrypted = openssl_decrypt($o_encrypted,$params['openssl']['cipher']."-".$params['openssl']['mode'],$key,true);
say(" - Encrypted ".bin2hex($o_encrypted)." (bin2hex)");
say(" - Descrypted ".$o_decrypted);
这是我的结果:
= Begin raw encryption
Params:
- String to encrypt 'does it work'
- Key: anotherpass
= Mcrypt
Params:
- InitVector 06a184909d7bf863 (bin2hex)
- Max keysize 56
- Cipher blowfish
- Mode ecb
Encryption:
- Encrypted 0e93dce9a6a88e343fe5f90d1307684c (bin2hex)
- Descrypted does it work
= Openssl
Params:
- InitVector not needed
- Max keysize 0
- Cipher BF
- Mode ECB
Encryption:
- Encrypted 213460aade8f9c14d8d51947b8231439 (bin2hex)
- Descrypted does it work
现在有什么想法吗?
谢谢!
最佳答案
Blowfish 是分组密码。它要求在加密之前填充数据。
OpenSSL 使用 PKCS#7,而 mcrypt 使用 PKCS#5。数据的不同填充算法。
最小 PKCS#5 填充长度为 0,对于 PKCS#7 为 1 ( wikipedia )。看一下这个例子(我已经用 PKCS#7 样式手动填充了 mcrypt_encrypt()
的输入数据):
<?php
$key = "anotherpassword1";
$str = "does it work 12";
$enc = mcrypt_encrypt(MCRYPT_BLOWFISH, $key, $str."\1", MCRYPT_MODE_ECB);
$dec = mcrypt_decrypt(MCRYPT_BLOWFISH, $key, $enc, MCRYPT_MODE_ECB);
echo(bin2hex($enc).PHP_EOL);
var_dump($dec);
$enc = openssl_encrypt($str, 'bf-ecb', $key, true);
$dec = openssl_decrypt($enc, 'bf-ecb', $key, true);
echo(bin2hex($enc).PHP_EOL);
var_dump($dec);
?>
用 mcrypt_encrypt() 加密的 openssl_decrypt() 数据是不可能的,除非在调用 mcrypt_encrypt()
之前使用 PKCS#7 手动填充数据。
您的情况只有一种方法 - 重新加密数据。
PS:您的源代码中存在错误 - ECB 模式根本不使用 IV (wikipedia)
关于php - 用 OpenSSL 替换 Mcrypt,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9993909/