javascript - 在浏览器中的 Node 和 CryptoJS 之间使用 AES 加密时出现问题

标签 javascript node.js cryptography aes cryptojs

我想用 Node 加密一个字符串,并在浏览器中用 CryptoJS 解密该字符串。

加密:

var crypto = require('crypto');

function encrypt(txt, cryptkey) {
    var cipher = crypto.createCipher('aes-256-cbc', cryptkey);
    var crypted = cipher.update(txt, 'utf8', 'hex');
    crypted += cipher.final('hex');
    return crypted;
}

encrypt('1', 'key'); // 83684beb6c8cf063caf45cb7fad04a50

包括:

<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/rollups/aes.js"></script>

解密:

var decrypted = CryptoJS.AES.decrypt('83684beb6c8cf063caf45cb7fad04a50', 'key');
console.log(decrypted.toString(CryptoJS.enc.Utf8)); // empty string

实际结果是空字符串。

从 Node 解密数据的正确方法是什么?

最佳答案

CryptoJS 支持与 Node.js 中的 crypto 模块支持的相同的基于密码的加密模式,该模式的实现与 EVP_BytesToKey 等效。 CryptoJS 默认情况下会生成随机盐,但 Node.js 不会并使用空盐。空盐是不好的,不应该使用。此外,使用此方法从密码派生 key 并不安全。需要使用 PBKDF2(由 CryptoJS 和 Node.js 支持)或类似的产品,并进行大量迭代和随机盐。

var ctHex = '83684beb6c8cf063caf45cb7fad04a50';
var ct = CryptoJS.enc.Hex.parse(ctHex);
var salt = CryptoJS.lib.WordArray.create(0); // empty array
var decrypted = CryptoJS.AES.decrypt({ciphertext: ct, salt: salt}, 'key');

document.querySelector("#dec").innerHTML = decrypted.toString(CryptoJS.enc.Utf8);
<script src="https://cdn.rawgit.com/CryptoStore/crypto-js/3.1.2/build/rollups/aes.js"></script>
Expected: "1"<br/>Got: "<span id="dec"></span>"

<小时/>

您说过这将通过 HTTP 完成。

如果您想在没有用户干预的情况下使用传输安全性,那么这是完全不安全的,因为 key 需要与密文一起传输,这最多只能造成混淆。

如果用户和服务器在通信之前都知道密码,那么这仍然是不够的,因为 CryptoJS 和 Node.js 提供的 key 派生是不够的,必须使用 PBKDF2 之类的东西。 MD5 很容易被暴力破解。

您需要使用非对称加密来保护此通信免受被动攻击者(无法将任意数据包注入(inject)服务器和客户端之间的流中的攻击者)。我建议您生成一个RSA key 对并将公钥发送给客户端,以便客户端可以加密发送给服务器的消息。您可以使用forge为此。

<小时/>

加密看起来像这样:

var salt = CryptoJS.lib.WordArray.create(0); // empty array
var params = CryptoJS.kdf.OpenSSL.execute('key', 256/32, 128/32, salt);
var pt = '1';
var encrypted = CryptoJS.AES.encrypt(pt, params.key, {iv: params.iv});

document.querySelector("#enc").innerHTML = encrypted.ciphertext.toString();
<script src="https://cdn.rawgit.com/CryptoStore/crypto-js/3.1.2/build/rollups/aes.js"></script>
Expected: "83684beb6c8cf063caf45cb7fad04a50"<br/>Got: "<span id="enc"></span>"

关于javascript - 在浏览器中的 Node 和 CryptoJS 之间使用 AES 加密时出现问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33936092/

上一篇:node.js - Nodejs、npm 和 sailsjs 之间是否存在版本依赖问题?

下一篇:c# - Azure 服务总线队列在 NodeJs 中向 .NET 客户端发送消息

相关文章:

javascript - 我怎样才能停止在我的 Angular 代码中的每个变量和函数之前键入 "$scope"?

javascript - innerHTML 内的 html 标签

javascript - 如何返回 MySQL 查询的回调并推送到 Node.js 中的数组?

javascript - 使用 Jasmine 或任何其他替代方案在 Node 上运行测试 .mjs/ESM

vb.net - App.config 连接字符串保护错误

C# SHA1 与 PHP SHA1 ...不同的结果?

javascript - 单击鼠标更改(切换)html 按钮的图像(在 Internet Explorer 中)

javascript - 返回顶部按钮不会通过 js 显示

node.js - 带有单独处理器脚本的 Google App Engine

python - 用 Python 加密

©2024 IT工具网  联系我们