使用使用 ECB 模式(这是玩具加密)和 PKCS7 填充的 AES128 加密的密文,以下代码块可在 iOS 8 下恢复完整的明文。
在 iOS 7 下运行相同的代码块会产生正确的明文,但被截断。这是为什么?
#import "NSData+AESCrypt.h" // <-- a category with the below function
#import <CommonCrypto/CommonCryptor.h>
- (NSData *)AES128Operation:(CCOperation)operation key:(NSString *)key iv:(NSString *)iv
{
char keyPtr[kCCKeySizeAES128 + 1];
bzero(keyPtr, sizeof(keyPtr));
[key getCString:keyPtr maxLength:sizeof(keyPtr) encoding:NSUTF8StringEncoding];
char ivPtr[kCCBlockSizeAES128 + 1];
bzero(ivPtr, sizeof(ivPtr));
if (iv) {
[iv getCString:ivPtr maxLength:sizeof(ivPtr) encoding:NSUTF8StringEncoding];
}
NSUInteger dataLength = [self length];
size_t bufferSize = dataLength + kCCBlockSizeAES128;
void *buffer = malloc(bufferSize);
size_t numBytesEncrypted = 0;
CCCryptorStatus cryptStatus = CCCrypt(operation,
kCCAlgorithmAES128,
kCCOptionPKCS7Padding | kCCOptionECBMode,
keyPtr,
kCCBlockSizeAES128,
ivPtr,
[self bytes],
dataLength,
buffer,
bufferSize,
&numBytesEncrypted);
if (cryptStatus == kCCSuccess) {
return [NSData dataWithBytesNoCopy:buffer length:numBytesEncrypted];
}
free(buffer);
return nil;
}
我在下面添加了一个包含结果的独立测试工具。
测试工具:
NSString *key = @"1234567890ABCDEF";
NSString *ciphertext = @"I9JIk5BskZMZKJFB/EAs+N2AYzkVR15DoBbUL7cBydBkWGlujVnzRHvBNvSVbcKh";
NSData *encData = [[NSData alloc]initWithBase64EncodedString:ciphertext options:0];
NSData *plainData = [encData AES128Operation:kCCDecrypt key:key iv:nil];
NSString *plaintext = [NSString stringWithUTF8String:[plainData bytes]];
DLog(@"key: %@\nciphertext: %@\nplaintext: %@", key, ciphertext, plaintext);
iOS 8 结果:
key: 1234567890ABCDEF
ciphertext: I9JIk5BskZMZKJFB/EAs+N2AYzkVR15DoBbUL7cBydBkWGlujVnzRHvBNvSVbcKh
plaintext: the quick brown fox jumped over the fence
iOS 7 结果:
key: 1234567890ABCDEF
ciphertext: I9JIk5BskZMZKJFB/EAs+N2AYzkVR15DoBbUL7cBydBkWGlujVnzRHvBNvSVbcKh
plaintext: the quick brown fox jumped over 0
以及后续结果:
plaintext: the quick brown fox jumped over
plaintext: the quick brown fox jumped over *
更新:问我这个问题:当我改变时
kCCOptionPKCS7Padding | kCCOptionECBMode ⇒ kCCOptionECBMode
iOS 7 中的结果符合预期。为什么是这样??我知道字节数是 block 对齐的,因为密文是用 PKCS7 填充填充的,所以这是有道理的,但为什么设置 kCCOptionPKCS7Padding | kCCOptionECBMode 只会导致 iOS 7 中的截断行为?
编辑:上面的测试密文是从 this web site 生成的,并在以下函数中独立使用 PHP 的 mcrypt 和手动 PKCS7 填充:
function encryptAES128WithPKCS7($message, $key)
{
if (mb_strlen($key, '8bit') !== 16) {
throw new Exception("Needs a 128-bit key!");
}
// Add PKCS7 Padding
$block = mcrypt_get_block_size(MCRYPT_RIJNDAEL_128);
$pad = $block - (mb_strlen($message, '8bit') % $block);
$message .= str_repeat(chr($pad), $pad);
$ciphertext = mcrypt_encrypt(
MCRYPT_RIJNDAEL_128,
$key,
$message,
MCRYPT_MODE_ECB
);
return $ciphertext;
}
// Demonstration encryption
echo base64_encode(encryptAES128WithPKCS7("the quick brown fox jumped over the fence", "1234567890ABCDEF"));
输出:
I9JIk5BskZMZKJFB/EAs+N2AYzkVR15DoBbUL7cBydBkWGlujVnzRHvBNvSVbcKh
更新:正确的 PKCS#7 填充密文将是
I9JIk5BskZMZKJFB/EAs+N2AYzkVR15DoBbUL7cBydA6aE5a3JrRst9Gn3sb3heC
Here 就是为什么不是。
最佳答案
数据未使用 PKCS#7 填充加密,而是使用空填充加密。您可以通过记录 plainData 来判断这一点:
NSData *fullData = [NSData dataWithBytes:buffer length:dataLength];
NSLog(@"\nfullData: %@", fullData);
输出:
纯数据:74686520 71756963 6b206272 6f776e20 666f7820 6a756d70 6564206f 76657220 74686520 66656e63 65000000 00000000
PHP mcrypt 方法执行此操作,它是非标准的。
mcrypt(),虽然很流行,但它是由一些笨蛋编写的,并且使用非标准的空填充,这既不安全,而且如果数据的最后一个字节是 0x00,则该函数将不起作用。
如果填充明显不正确,早期版本的 CCCrypt 会返回错误,这是一个安全错误,后来已得到纠正。 IIRC iOS7 是最后一个报告错误填充错误的版本。
解决方案是在加密之前添加 PKCS#7 填充:
PKCS#7 填充始终添加填充。填充是一系列字节,其值为添加的填充字节数。填充的长度是 block_size - (length(data) % block_size。
对于 AES, block 是 16 字节(希望 php 是有效的,已经有一段时间了):
$pad_count = 16 - (strlen($data) % 16);
$data .= str_repeat(chr($pad_count), $pad_count);
或者在解密后删除尾随的 0x00 字节。
参见PKCS7 .
如果填充明显不正确,早期版本的 CCCrypt 会返回错误,这是一个安全错误,后来已得到纠正。苹果论坛对此进行了多次讨论,奎因参与了许多讨论。但这是一个安全弱点,因此奇偶校验被删除,一些开发人员感到不安/敌对。现在,如果奇偶校验不正确,则不会报告错误。
关于ios - AES128 在 iOS 7 上截断解密文本,在 iOS 8 上没有问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31850550/