logo标签列表

使用PyCrypto AES进行Python加密

pythonpycrypto
19

今天我刚发现了pycrypto,正在开发我的AES加密类。不幸的是它只能半工作。self.h.md5输出的是16进制格式的md5哈希值,长度为32字节。

这是输出结果。看起来它解密了消息,但是在解密后放置了随机字符,例如\n\n\n... 我认为我有一个关于self.data块大小的问题,请问有人知道如何解决吗?

Jans-MacBook-Pro:test2 jan$ ../../bin/python3 data.py b'RLfGmn5jf5WTJphnmW0hXG7IaIYcCRpjaTTqwXR6yiJCUytnDib+GQYlFORm+jIctest 1 2 3 4 5 endtest\n\n\n\n\n\n\n\n\n\n'

from Crypto.Cipher import AES
from base64 import b64encode, b64decode
from os import urandom

class Encryption():
    def __init__(self):
        self.h = Hash()

    def values(self, data, key):
        self.data = data
        self.key = key
        self.mode = AES.MODE_CBC
        self.iv = urandom(16)
        if not self.key:
            self.key = Cfg_Encrypt_Key
        self.key = self.h.md5(self.key, True)

    def encrypt(self, data, key):
        self.values(data, key)
        return b64encode(self.iv + AES.new(self.key, self.mode, self.iv).encrypt(self.data))

    def decrypt(self, data, key):
        self.values(data, key)
        self.iv = b64decode(self.data)[:16]
        return AES.new(self.key, self.mode, self.iv).decrypt(b64decode(self.data)[16:])
1
这里 Hash() 的定义在哪里? - Santosh Ghimire
4个回答
83

说实话,这些字符"\n\n\n\n\n\n\n\n\n\n"看起来对我来说并不随机。 ;-)

您正在使用CBC模式的AES。这要求明文和密文的长度始终是16个字节的倍数。根据您展示的代码,当传递给encrypt()data未满足此条件时,实际上应该会引发异常。看起来您添加了足够多的换行符('\n'),直到明文恰好对齐。

除此之外,解决对齐问题有两种常见方法:

  1. 从CBC (AES.MODE_CBC) 切换到CFB (AES.MODE_CFB)。使用PyCrypto默认的segment_size,您将没有任何限制明文和密文长度的问题。

  2. 继续使用CBC并使用像PKCS#7这样的填充方案,即:

    • 在加密X字节的明文之前,向后追加尽可能多的字节,以达到下一个16字节边界。所有填充字节具有相同的值:您正在添加的字节数。

      length = 16 - (len(data) % 16)
data += bytes([length])*length

      那是Python 3的风格。在Python 2中,你将会有:

      length = 16 - (len(data) % 16)
data += chr(length)*length

    • 解密后,从明文的末尾移除由填充指示的字节数:

      • data = data[:-data[-1]]

虽然我知道在你的情况下这只是一项课堂练习,但我想指出,发送没有任何形式的身份验证(例如MAC)的数据是不安全的。

1
如果你的意思是hmac签名,是的,我已经在我的加密函数中内置了sha256 hmac签名。无论如何,出于好奇,我尝试了你的填充解决方案,但它不起作用。我调整了它,直到我让填充工作了,但是取消填充只会删除所有内容。def pad2(self, data): if not isinstance(data, bytes): self.data = bytes(self.data, 'utf-8') size = (self.blockSize - len(self.data)) % self.blockSize self.data += bytes(size, 'ascii') return self.data def unpad2(self, data): return data[:-data[-1]] - if __name__ is None
1
因为明文和密文不是文本字符串。它们必须是恰好16个字节的序列。如果取一个文本字符串,我可以用几种不同的方式(UTF-8、UTF-16、ASCII等)将其编码成字节。这种区别在Python3中非常重要。 - SquareRootOfTwentyThree
4
感谢@SquareRootOfTwentyThree提供这个简洁的解决方案!只想补充一点,对于Python 2来说,data[:-data[-1]]并没有直接生效,我必须使用data[:-ord(data[-1])]才行。 - mmuller
1
@mmuller,这是因为在Python 2中,解码后的数据是一个字符串,所以最后一个位置仍然是一个字符串,因此需要使用ord()。在Python 3中,数据已经是一系列字节,因此任何给定位置都是一个int。尝试在Python 3和2终端中输入>>> b'ABC'[-1]以查看差异。 - MestreLion
1
@SquareRootOfTwentyThree,问题是:如果明文已经与16字节边界对齐怎么办?这将导致0填充字节,您建议的data = data[:-data[-1]]将截断消息本身,不是吗? - MestreLion
显示剩余5条评论
2

只要您记得初始有效载荷的长度,就可以使用固定字符,这样您就不会“丢弃”有用的结束字节。 试试这个:

import base64

from Crypto.Cipher import AES

def encrypt(payload, salt, key):
    return AES.new(key, AES.MODE_CBC, salt).encrypt(r_pad(payload))


def decrypt(payload, salt, key, length):
    return AES.new(key, AES.MODE_CBC, salt).decrypt(payload)[:length]


def r_pad(payload, block_size=16):
    length = block_size - (len(payload) % block_size)
    return payload + chr(length) * length


print(decrypt(encrypt("some cyphertext", "b" * 16, "b" * 16), "b" * 16, "b" * 16, len("some cyphertext")))
1
from hashlib import md5
from Crypto.Cipher import AES
from Crypto import Random
import base64

def derive_key_and_iv(password, salt, key_length, iv_length):
    d = d_i = ''
    while len(d) < key_length + iv_length:
        d_i = md5(d_i + password + salt).digest()
        d += d_i
    return d[:key_length], d[key_length:key_length+iv_length]

def encrypt(in_file, out_file, password, key_length=32):
    bs = AES.block_size
    salt = Random.new().read(bs - len('Salted__'))
    key, iv = derive_key_and_iv(password, salt, key_length, bs)
    cipher = AES.new(key, AES.MODE_CBC, iv)
    #print in_file
    in_file = file(in_file, 'rb')
    out_file = file(out_file, 'wb')
    out_file.write('Salted__' + salt)
    finished = False
    while not finished:
        chunk = in_file.read(1024 * bs)
        if len(chunk) == 0 or len(chunk) % bs != 0:
            padding_length = bs - (len(chunk) % bs)
            chunk += padding_length * chr(padding_length)
            finished = True
        out_file.write(cipher.encrypt(chunk))
    in_file.close()
    out_file.close()

def decrypt(in_file, out_file, password, key_length=32):
    bs = AES.block_size

    in_file = file(in_file, 'rb')
    out_file = file(out_file, 'wb')
    salt = in_file.read(bs)[len('Salted__'):]
    key, iv = derive_key_and_iv(password, salt, key_length, bs)
    cipher = AES.new(key, AES.MODE_CBC, iv)
    next_chunk = ''
    finished = False
    while not finished:
        chunk, next_chunk = next_chunk, cipher.decrypt(in_file.read(1024 * bs))
        if len(next_chunk) == 0:
            padding_length = ord(chunk[-1])
            if padding_length < 1 or padding_length > bs:
               raise ValueError("bad decrypt pad (%d)" % padding_length)
            # all the pad-bytes must be the same
            if chunk[-padding_length:] != (padding_length * chr(padding_length)):
               # this is similar to the bad decrypt:evp_enc.c from openssl program
               raise ValueError("bad decrypt")
            chunk = chunk[:-padding_length]
            finished = True
        out_file.write(chunk)    
    in_file.close()
    out_file.close()

def encode(in_file, out_file):
    in_file = file(in_file, 'rb')
    out_file = file(out_file, 'wb')
    data = in_file.read()
    out_file.write(base64.b64encode(data))    
    in_file.close()
    out_file.close()

def decode(in_file, out_file):
    in_file = file(in_file, 'rb')
    out_file = file(out_file, 'wb')
    data = in_file.read()
    out_file.write(base64.b64decode(data))    
    in_file.close()
    out_file.close()
1
这只是没有任何提示的代码,也许这就是为什么没有人点赞的原因。可能值得添加一些说明文。 - jlandercy
1
哇,你让我开心了。你(非常牵强附会的)评论中提到了填充长度必须是填充的长度,这个提示很有用。 - Amfasis
请注意,如果填充长度为零,则应将其设置为密钥的大小。 - Amfasis
-1

AES.new().encrypt().decrypt()的输入和输出字符串长度必须是16的倍数。你必须以某种方式解决这个问题。例如,你可以在开头存储实际长度,并使用它来截断解密后的字符串。

请注意,虽然这是AES的唯一限制,但其他模块(特别是在Crypto.PublicKey中)有额外的限制,这些限制来自它们的数学实现,不应该(在我看来)对最终用户可见,但实际上是可见的。例如,Crypto.PublicKey.ElGamal将加密任何短字符串,但如果它以空字符开头,则在解密时会丢失它们。

啊哈,我明白了。我在某个地方读到过长度与16字节乘数有关的内容,但没有真正关注它。感谢您澄清了这一点。我想我会在self.data中嵌入某种结束标识符,并用垃圾数据填充剩余的16个乘数,然后在解密时从包括结束标识符在内的所有内容中删除它。这样,我就可以消除存储额外长度值的需要。 - if __name__ is None
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接