PHP mcrypt_decrypt - 我可以确定数据是否用正确的密钥解密？

Question

我正在编写一个 php 脚本，并正在使用 mcrypt 加密/解密任意数据。

当我使用另一个密钥解密加密数据时（例如，我输入了错误的密码），输出当然不会被正确解密。

如果使用了错误的键，我想显示一条错误消息，但我认为很难将输出字符串验证为正确的“纯文本”（因为编码数据中的字符也可以作为输入有效）数据）。

有没有办法解决这个问题？

---

在我写这个问题的时候，我有了一个想法:)

我是否可以在输入数据前加上一个静态“控制”字符串，并在解密时使用它进行验证？

Answer 1

为您的加密数据添加完整性的最佳方法是添加仅在加密数据上创建的 MAC。

不要在纯文本上应用 MAC，因为 MAC 可以揭示有关该文本的一些信息。创建 MAC 不是为了提供安全性 - 只是为了完整性。

所以，正确的算法应该是 ENCRYPT-THEN-MAC！

更多详细信息请参阅此视频http://d396qusza40orc.cloudfront.net/crypto/recoded_videos%2F7.4%20%5B974a4c90%5D%20.mp4

Answer 2

我通常这样做：

• 散列输入数据（文件或消息等）。
• 加密数据。
• 在加密数据前面加上 IV 和数据的哈希值。
• 发送或存储 IV + 哈希 + 密文。

由于 IV 和哈希总是相同的长度，因此无需添加填充或控制字符。

在接收端或读取端：

• 提取 IV。
• 提取哈希。
• 提取和解密加密文本。
• 对解密后的数据进行散列，并检查它是否与提取的散列匹配。

因此，您存储的是源数据的散列，而不是键的散列。正如上面发布的评论者所说，泄露您的密钥哈希是一个漏洞，因为攻击者现在只需要在彩虹表中搜索它（它会在几秒钟内破坏您的数据）。

您存储控制字符串的想法也很好（当然更快），但它不能让您确认消息或数据确实未损坏，只能确认使用了正确的密钥。