AES PKCS7填充

Question

AES PKCS7填充

encryptioncryptographyaesbouncycastlepkcs#7

12

我刚开始学习 Bouncy Castle 进行 AES 加密/解密。我正在使用 256 位密钥的 AES/CBC/PKCS7PADDING。

BC 可以成功加密和解密文本，但是在解密后我注意到总会有几个空的填充字节（0x00），这样就导致了我的哈希比较失败。例如，假设原始输入字符串是"1234567890"，解密后的字节数组总是：

{0x49,0x50,0x51,0x52,0x53,0x54,0x55,0x56,0x57,0x48,0x00,0x00,0x00,0x00,0x00,0x00}

为什么填充不是0x06,0x06,0x06,0x06,0x06,0x06？是否有一种确定性的方法可以在加密后确定填充长度（可能为0），以便我可以获得加密之前完全相同的字符串？

- user908645

2

你的代码在这里会很有帮助。很可能你的缓冲区是固定大小的，而且你没有将其截断到正确的长度，但如果没有代码，很多事情是无法确定的。 - Rob Napier

2个回答

0

我正在使用BouncyCastle的C#。看起来这可能是BouncyCastle的一个错误，或者至少BouncyCastle的C#实现没有完全遵循PKCS7规范。

我的解决方案是切掉未包含在DoFinal返回长度中的尾随字节。仍然不太确定为什么会有0x00的填充，据说根本不应该存在。

以下是代码。我同时使用AES/CBC/PKCS7PADDING进行加密和解密。

加密 --->

        ICipherParameters keyParams = ParameterUtilities.CreateKeyParameter("AES", keyByte);
        ICipherParameters aesIVKeyParam = new ParametersWithIV(keyParams, StringToByteArray(IV_STRING));
        byte[] iv = ((ParametersWithIV) aesIVKeyParam).GetIV();

        IBufferedCipher cipher = CipherUtilities.GetCipher("AES/CBC/PKCS7PADDING");
        cipher.Init(true, aesIVKeyParam);

        byte[] cipherText = new byte[iv.Length + cipher.GetOutputSize(data.Length)];
        Array.Copy(iv, 0, cipherText, 0, iv.Length);
        int length = cipher.DoFinal(data, 0, data.Length, cipherText, iv.Length);

解密 --->

        ICipherParameters keyParams = ParameterUtilities.CreateKeyParameter("AES", keyByte);
        byte[] iv = new byte[IV_LENGTH];
        Array.Copy(data, 0, iv, 0, IV_LENGTH);
        ICipherParameters aesIVKeyParam = new ParametersWithIV(keyParams, iv);

        IBufferedCipher cipher = CipherUtilities.GetCipher("AES/CBC/PKCS7PADDING");
        cipher.Init(false, aesIVKeyParam);

        byte[] plainTextBuffer = new byte[cipher.GetOutputSize(data.Length - IV_LENGTH)];
        int length = cipher.DoFinal(data, iv.Length, data.Length - iv.Length, plainTextBuffer, 0);

- user908645

1

您应该更新原始问题，而不是将其作为答案添加。 - Ebbe M. Pedersen

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Ebbe M. Pedersen · Accepted Answer

当您指定PKCS7时，BC会在加密数据之前添加填充，并在解密时将其删除。AES的PKCS7始终会添加至少1个字节的填充，并添加足够的数据使输入成为AES块大小的倍数。在解密时，会验证填充是否正确，并且在PKCS7的情况下，还会作为最后一个解密数据块中有多少是填充数据以及多少是真实数据的指示器。

如果您在解密步骤中未指定PKCS7，则尝试解密已加密和填充的数据时，填充仍然会存在于解密后的数据中。 编辑： 为了说明我的观点...这里有一些使用AES/CBC/PKCS7加密“1234567890”，然后使用和不使用PKCS7填充对其进行解密的Java代码：

public class BCTest {
    public static void doTest() throws Exception {
        Security.addProvider(new BouncyCastleProvider());

        byte[] clearData = "1234567890".getBytes();
        SecretKey secretKey = new SecretKeySpec("0123456789ABCDEF".getBytes(), "AES");
        AlgorithmParameterSpec IVspec = new IvParameterSpec("0123456789ABCDEF".getBytes());

        // encrypt with PKCS7 padding
        Cipher encrypterWithPad = Cipher.getInstance("AES/CBC/PKCS7PADDING", "BC");
        encrypterWithPad.init(Cipher.ENCRYPT_MODE, secretKey, IVspec);
        byte[] encryptedData = encrypterWithPad.doFinal(clearData);
        System.out.println("Encryped data (" + encryptedData.length + " bytes): \t" + toHexString(encryptedData));

        // decrypt with PKCS7 pad
        Cipher decrypterWithPad = Cipher.getInstance("AES/CBC/PKCS7PADDING", "BC");
        decrypterWithPad.init(Cipher.DECRYPT_MODE, secretKey, IVspec);
        byte[] buffer1 = new byte[encryptedData.length]; 
        int decryptLen1 = decrypterWithPad.doFinal(encryptedData, 0, encryptedData.length, buffer1); 
        System.out.println("Decrypted with Pad (" + decryptLen1 + " bytes):  \t" + toHexString(buffer1));

        // decrypt without PKCS7 pad
        Cipher decrypterWithoutPad = Cipher.getInstance("AES/CBC/NOPADDING", "BC");
        decrypterWithoutPad.init(Cipher.DECRYPT_MODE, secretKey, IVspec);
        byte[] buffer2 = new byte[encryptedData.length]; 
        int decryptLen2 = decrypterWithoutPad.doFinal(encryptedData, 0, encryptedData.length, buffer2); 
        System.out.println("Decrypted without Pad (" + decryptLen2 + " bytes):\t" + toHexString(buffer2));
    }

    private static String toHexString(byte[] bytes) {
        return javax.xml.bind.DatatypeConverter.printHexBinary(bytes);
    }

    public static void main(String[] args) throws Exception {
        BCTest.doTest(); 
    }
}

输出：

Encryped data (16 bytes):           602CAE14358D0AC5C96E2D46D17E58E3
Decrypted with Pad (10 bytes):      31323334353637383930000000000000
Decrypted without Pad (16 bytes):   31323334353637383930060606060606

使用填充选项进行解密时，输出已被剥离填充，并且密码指示解密数据的10个字节 - 缓冲区的其余部分填充为0。不使用填充选项进行解密会导致填充现在成为解密数据的一部分。

编辑2：现在看到原始代码，证实了我的直觉。方法GetOutputSize不返回解密字符串的输出大小，而只返回输出缓冲区中所需的最大空间。该方法在BC代码中有以下文档：

/**
* return the size of the output buffer required for an update plus a
* doFinal with an input of len bytes.
*
* @param len the length of the input.
* @return the space required to accommodate a call to update and doFinal
* with len bytes of input.
*/

DoFinal函数返回放置在缓冲区中的解密数据的实际长度。

因此，在

byte[] plainTextBuffer = new byte[cipher.GetOutputSize(data.Length - IV_LENGTH)];
int length = cipher.DoFinal(data, iv.Length, data.Length - iv.Length, plainTextBuffer, 0);

plainTextBuffer将略大于实际解密数据，实际数据长度存储在length中。