1

为了学习目的,我实现了一个简单的 AES-256-GCM 加密和解密。在测试我的代码时,如果我输入长度为 6 的倍数的字符串,那么我会得到正确的输出,但在其他情况下,解密的数据会附加一些垃圾字符。

Case1:
Enter string: abcdef
Enter key: sdasdasdsa
-^%�
abcdef
6

Case2:
Enter string: abcdefghi
Enter key: sadsadsad
\h�,�[�
abcdefghi�\�
-1

现在我在https://www.openssl.org/docs/crypto/EVP_EncryptFinal_ex.html上读到

EVP_DecryptFinal() will return an error code if padding is enabled and the
final block is not correctly formatted.

但是由于在这种情况下默认启用填充,我猜测问题出在最终块的正确格式上。我在下面附上了我的代码:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <openssl/evp.h>

void handleErrors()
{
    printf("Some error occured\n");
}

int encrypt(unsigned char *plaintext, int plaintext_len, unsigned char *aad,
    int aad_len, unsigned char *key, unsigned char *iv,
    unsigned char *ciphertext, unsigned char *tag)
{
    EVP_CIPHER_CTX *ctx;

    int len, ciphertext_len=0;

    /* Create and initialise the context */
    if(!(ctx = EVP_CIPHER_CTX_new()))
        handleErrors();

    /* Initialise the encryption operation. */
    if(1 != EVP_EncryptInit_ex(ctx, EVP_aes_256_gcm(), NULL, NULL, NULL))
        handleErrors();

    /* Set IV length if default 12 bytes (96 bits) is not appropriate */
    if(1 != EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_GCM_SET_IVLEN, 16, NULL))
        handleErrors();

    /* Initialise key and IV */
    if(1 != EVP_EncryptInit_ex(ctx, NULL, NULL, key, iv)) handleErrors();

    /* Provide any AAD data. This can be called zero or more times as
     * required
     */
    if(1 != EVP_EncryptUpdate(ctx, NULL, &len, aad, aad_len))
        handleErrors();

    /* Provide the message to be encrypted, and obtain the encrypted output.
     * EVP_EncryptUpdate can be called multiple times if necessary
     */
    if(1 != EVP_EncryptUpdate(ctx, ciphertext, &len, plaintext, plaintext_len))
        handleErrors();
    ciphertext_len+= len;

    /* Finalise the encryption. Normally ciphertext bytes may be written at
     * this stage, but this does not occur in GCM mode
     */
    if(1 != EVP_EncryptFinal_ex(ctx, ciphertext + len, &len)) handleErrors();
    ciphertext_len += len;

    /* Get the tag */
    if(1 != EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_GCM_GET_TAG, 16, tag))
        handleErrors();

    /* Clean up */
    EVP_CIPHER_CTX_free(ctx);

    return ciphertext_len;
}


int decrypt(unsigned char *ciphertext, int ciphertext_len, unsigned char *aad,
    int aad_len, unsigned char *tag, unsigned char *key, unsigned char *iv,
    unsigned char *plaintext)
{
    EVP_CIPHER_CTX *ctx;
    int len, plaintext_len=0, ret;

    /* Create and initialise the context */
    if(!(ctx = EVP_CIPHER_CTX_new())) 
        handleErrors();

    /* Initialise the decryption operation. */
    if(!EVP_DecryptInit_ex(ctx, EVP_aes_256_gcm(), NULL, NULL, NULL))
        handleErrors();

    /* Set IV length. Not necessary if this is 12 bytes (96 bits) */
    if(!EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_GCM_SET_IVLEN, 16, NULL))
        handleErrors();

    /* Initialise key and IV */
    if(!EVP_DecryptInit_ex(ctx, NULL, NULL, key, iv)) handleErrors();

    /* Provide any AAD data. This can be called zero or more times as
     * required
     */
    if(!EVP_DecryptUpdate(ctx, NULL, &len, aad, aad_len))
        handleErrors();

    /* Provide the message to be decrypted, and obtain the plaintext output.
     * EVP_DecryptUpdate can be called multiple times if necessary
     */
    if(!EVP_DecryptUpdate(ctx, plaintext, &len, ciphertext, ciphertext_len))
        handleErrors();
    plaintext_len+= len;

    /* Set expected tag value. Works in OpenSSL 1.0.1d and later */
    if(!EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_GCM_SET_TAG, 16, tag))
        handleErrors();

    /* Finalise the decryption. A positive return value indicates success,
     * anything else is a failure - the plaintext is not trustworthy.
     */
    ret = EVP_DecryptFinal_ex(ctx, plaintext + len, &len);

    /* Clean up */
    EVP_CIPHER_CTX_free(ctx);

    if(ret > 0)
    {
        /* Success */
        plaintext_len += len;
        return plaintext_len;
    }
    else
    {
        /* Verify failed */
        return -1;
    }
}


int main (void)
{
    unsigned char str[1024],key[10],ciphertext[1024+EVP_MAX_BLOCK_LENGTH],tag[100],pt[1024];
    unsigned char iv[]="1234567890abcdef";
    unsigned char aad[]="1234567890123456";
    int k;
    printf("Enter string: ");
    scanf("%s",str);
    printf("Enter key: ");
    scanf("%s",key);

    encrypt(str, strlen(str), aad, strlen(aad), key, iv, ciphertext, tag);
    printf("%s\n",ciphertext);
    k = decrypt(ciphertext, strlen(ciphertext), aad, strlen(aad), tag, key, iv, pt);
    printf("%s\n%d\n",pt,k);
}
4

2 回答 2

3

decrypt(ciphertext, strlen(ciphertext), aad, strlen(aad), tag, key, iv, pt);

decrypt(ciphertext, strlen(ciphertext), ...是错的。密文中可能有嵌入的 NULL,在这种情况下,它将被截断。在您的情况下,正在向该decrypt函数提供额外的字符。很难说有多少 - 直到strlen碰巧在内存中遇到 NULL。

您需要捕获的返回值encryptdecrpyt正确设置各种长度:

int x;
...

x = encrypt(str, strlen(str), aad, strlen(aad), key, iv, ciphertext, tag);
...

x = decrypt(ciphertext, x, aad, strlen(aad), tag, key, iv, pt);
...

你可能有同样的问题aad, strlen(aad),但我认为它还没有暴露出来。

EVP_DecryptFinal_ex 中用于解密的最终块的正确格式是什么?

回到名义上的问题:没有。你的问题在别处。

您可能在函数中unsigned char *plaintext使用的缓冲区溢出。decrypt你没有传递一个长度,所以很decrypt高兴地写超出它的长度......

于 2015-01-04T10:35:20.053 回答
2

在上面的示例中,您将密钥 IV 数据定义为字符串。密钥和 IV 不应由字符串组成,因为它们不包含任何可能的字节。这是最大限度地提高安全性所必需的;目前您正在限制可能的密钥数量。密钥应由其输出与随机无法区分的函数生成。

您应该使用密码密钥派生函数 (PBKDF),例如 PBKDF2 从密码创建密钥。IV应该是随机的并与密文一起发送。IV 和密钥应为静态大小,IV 为 16 字节,密钥为 16、24 或 32 字节。

但是,要进行测试,您可以使用简单的数组初始化(使用 AES-256 时的密钥为 32 个字节):

unsigned char key[32] = { 0x00,  0x00,  0x00,  0x00,  0x00,  0x00,  0x00,  0x00,
                          0x00,  0x00,  0x00,  0x00,  0x00,  0x00,  0x00,  0x00,
                          0x00,  0x00,  0x00,  0x00,  0x00,  0x00,  0x00,  0x00,
                          0x00,  0x00,  0x00,  0x00,  0x00,  0x00,  0x00,  0x00 };
unsigned char iv[16] = { 0x00,  0x00,  0x00,  0x00,  0x00,  0x00,  0x00,  0x00,
                         0x00,  0x00,  0x00,  0x00,  0x00,  0x00,  0x00,  0x00 };

或者你可以分配 X 字节的内存并用一个值填充它,只要你给函数正确的大小。

您需要替换所有出现的strlen()with sizeof(),除了plaintextand ciphertext。在前者中,您实际上是在加密一个字符串,所以strlen是有道理的。在后者中,您需要使用encrypt操作的结果。密文包含在您的加密方法返回的长度(正确)的缓冲区中。

最后,现代密码对字节而不是字符进行操作,因此您需要为所有输入提供字节大小。char对于使用相同原始类型(当然对于 C 语言)处理字节和字符的任何语言都存在这种问题。它还倾向于隐藏编码/解码问题(例如关于 UTF-8)。

如果您想处理未知长度,那么您必须调用EVP_EncryptUpdateorEVP_DecryptUpdate多次,记录返回的字节数(就像您现在所做的那样)。然后在输入结束时,您只需最后一次调用 update 方法,然后调用EVP_EncryptFinal_exor EVP_DecryptFinal_ex。在这种情况下,您当然应该将您的方法重构为init/update/final部分,并为输入和输出使用一些缓冲区。

于 2015-01-04T13:25:01.747 回答