1

我正在尝试使用SubtleCrypto加密 webextension 中的某些内容,并使用cryptography对其进行解密。我想使用密码来加密消息,将其发送到应用程序并使用相同的密码对其进行解密。为此,我使用 AES GCM 和 pbkdf2

我能够在 Mozilla 文档页面上找到一个加密片段。但是,我很难在颤抖中解密它。

我也有术语问题。SubtleCrypto 使用 iv、salt 和标签,而 Flutter 加密使用 nonce 和 mac。

Javascript代码:

test(){
  // const salt = window.crypto.getRandomValues(new Uint8Array(16));
  // const iv = window.crypto.getRandomValues(new Uint8Array(12));
  const salt = new Uint8Array([0, 72, 16, 170, 232, 145, 179, 47, 241, 92, 75, 146, 25, 0, 193, 176]);
  const iv = new Uint8Array([198, 0, 92, 253, 0, 245, 140, 79, 236, 215, 255, 0]);

  console.log('salt: ', salt);
  console.log('iv: ', iv);
  console.log('salt: ', btoa(String.fromCharCode(...salt)));
  console.log('iv: ', btoa(String.fromCharCode(...iv)));

  this.encrypt('value', salt, iv).then(x => console.log('got encrypted: ', x));
}

getKeyMaterial(): Promise<CryptoKey> {
  const password = 'key';
  const enc = new TextEncoder();
  return window.crypto.subtle.importKey(
    'raw',
    enc.encode(password),
    'PBKDF2',
    false,
    ['deriveBits', 'deriveKey']
  );
}

async encrypt(plaintext: string, salt: Uint8Array, iv: Uint8Array): Promise<string> {
  const keyMaterial = await this.getKeyMaterial();
  const key = await window.crypto.subtle.deriveKey(
    {
      name: 'PBKDF2',
      salt,
      iterations: 100000,
      hash: 'SHA-256'
    },
    keyMaterial,
    { name: 'AES-GCM', length: 256},
    true,
    [ 'encrypt', 'decrypt' ]
  );

  const encoder = new TextEncoder();
  const tes = await window.crypto.subtle.encrypt(
    {
      name: 'AES-GCM',
      iv
    },
    key,
    encoder.encode(plaintext)
  );

  return btoa(String.fromCharCode(...new Uint8Array(tes)));
}

飞镖代码:

void decrypt(){
final algorithm = AesGcm.with256bits();

final encrypted = base64Decode('1MdEsqwqh4bUTlfpIk12SeziA9Pw');

final secretBox = SecretBox.fromConcatenation(encrypted, nonceLength: 12, macLength: 0);

// // Encrypt
final data = await algorithm.decrypt(
  secretBox,
  secretKey: await getKey(),
);


String res = utf8.decode(data);
}

Future<SecretKey> getKey() async{
  final pbkdf2 = Pbkdf2(
    macAlgorithm: Hmac.sha256(),
    iterations: 100000,
    bits: 128,
  );

  // Password we want to hash
  final secretKey = SecretKey(utf8.encode('key'));

  // A random salt 
  final salt = [0, 72, 16, 170, 232, 145, 179, 47, 241, 92, 75, 146, 25, 0, 193, 176];

  // Calculate a hash that can be stored in the database
  final newSecretKey = await pbkdf2.deriveKey(
    secretKey: secretKey,
    nonce: salt,
  );

  return Future<SecretKey>.value(newSecretKey);
}

我究竟做错了什么?

4

1 回答 1

1

Dart 代码中存在以下问题:

  • WebCryptoAPI 代码将 GCM 标记与密文以密文 |的顺序连接起来。标记。在 Dart 代码中,这两个部分必须相应地分开。
    此外,在 Dart 代码中,nonce/IV 没有被考虑在内。一个可能的解决方法decrypt()是:
   //final secretBox = SecretBox.fromConcatenation(encrypted, nonceLength: 12, macLength: 0);
   Uint8List ciphertext  = encrypted.sublist(0, encrypted.length - 16);
   Uint8List mac = encrypted.sublist(encrypted.length - 16);
   Uint8List iv = base64Decode('xgBc/QD1jE/s1/8A'); // should als be concatenated, e.g. iv | ciphertext | tag
   SecretBox secretBox = new SecretBox(ciphertext, nonce: iv, mac: new Mac(mac));

  • 此外,WebCryptoAPI 代码使用 AES-256,因此在 中的 Dart 代码中getKey(),必须相应地应用 256 位作为 PBKDF2 调用中的密钥大小。

  • 此外,由于decrypt()包含异步方法调用,因此必须使用async关键字进行标记。

通过这些更改,decrypt()可以在我的机器上运行并value从 WebCryptoAPI 代码返回数据:

function test(){
    // const salt = window.crypto.getRandomValues(new Uint8Array(16));
    // const iv = window.crypto.getRandomValues(new Uint8Array(12));
    const salt = new Uint8Array([0, 72, 16, 170, 232, 145, 179, 47, 241, 92, 75, 146, 25, 0, 193, 176]);
    const iv = new Uint8Array([198, 0, 92, 253, 0, 245, 140, 79, 236, 215, 255, 0]);

    console.log('salt: ', salt);
    console.log('iv:   ', iv);
    console.log('salt:         ', btoa(String.fromCharCode(...salt)));
    console.log('iv:           ', btoa(String.fromCharCode(...iv)));

    encrypt('value', salt, iv).then(x => console.log('got encrypted:', x));
}


function getKeyMaterial() {
    const password = 'key';
    const enc = new TextEncoder();
    return window.crypto.subtle.importKey(
        'raw',
        enc.encode(password),
        'PBKDF2',
        false,
        ['deriveBits', 'deriveKey']
    );
}


async function encrypt(plaintext, salt, iv) {
    const keyMaterial = await getKeyMaterial();
    const key = await window.crypto.subtle.deriveKey(
        {
            name: 'PBKDF2',
            salt,
            iterations: 100000,
            hash: 'SHA-256'
        },
        keyMaterial,
        { name: 'AES-GCM', length: 256},
        true,
        [ 'encrypt', 'decrypt' ]
    );

    const encoder = new TextEncoder();
    const tes = await window.crypto.subtle.encrypt(
        {
            name: 'AES-GCM',
            iv
        },
        key,
        encoder.encode(plaintext)
    );

    return btoa(String.fromCharCode(...new Uint8Array(tes)));
}

test();

salt:          AEgQquiRsy/xXEuSGQDBsA== 
iv:            xgBc/QD1jE/s1/8A 
got encrypted: 1MdEsqwqh4bUTlfpIk12SeziA9Pw

请注意,静态随机数/IV 和盐通常是不安全的(当然,出于测试目的,它很好)。通常,它们是为每个加密/密钥派生随机生成的。由于 salt 和 nonce/IV 不是秘密的,它们通常与密文和标签连接,例如salt | 随机数 | 密文 | tag,并在接收方分隔。

实际上SecretBox提供了fromConcatenation()应该分离随机数、密文和标签的串联的方法。然而,这个实现返回(至少在早期版本中)一个损坏的密文,这可能是一个错误。

关于 GCM 和 PBKDF2 上下文中的 nonce/IV、salt 和 MAC/tag 术语:

GCM 模式使用 12 字节的 nonce,在 WebCryptoAPI(有时在其他库中)称为 IV,s。在这里。PBKDF2 在密钥派生中应用了盐,在 Dart 中称为随机数。

命名随机数是合适的,IV(与相同的密钥组合)和盐(与相同的密码组合)只能使用一次。前者对于 GCM 安全尤其重要。在这里

MAC 和标签是 GCM 身份验证标签的同义词。

于 2021-04-05T12:46:49.013 回答