Rijndael 和 CryptoJs 互操作性

Question

我们有一个使用 Rijndael 加密和解密的 C# 库

 _algorithm = new RijndaelManaged() { Mode = CipherMode.CBC, Padding = PaddingMode.ISO10126 };

   public override byte[] Encrypt(byte[] bytes)
    {
        // a new iv must be generated every time
        _algorithm.GenerateIV();
        var iv = _algorithm.IV;
        var memoryStream = new MemoryStream();
        using (var encryptor = _algorithm.CreateEncryptor(_key, iv))
        using (var cryptoStream = new CryptoStream(memoryStream, encryptor, CryptoStreamMode.Write))
        {
            memoryStream.Write(iv, 0, iv.Length);
            cryptoStream.Write(bytes, 0, bytes.Length);
            cryptoStream.FlushFinalBlock();
            return memoryStream.ToArray();
        }
    }

C#中有对应的decrypt方法，可以对上面代码加密的内容进行解密。现在需要节点应用程序使用完全相同的算法发送加密数据。 但是，我相信由于 iv，C# 代码无法解密它 任何想法

 CryptoJS.AES.encrypt(
       value,
        key,
        {
            mode: CryptoJS.mode.CBC,
            padding: CryptoJS.pad.Iso10126,
        }
    );

const decryptedString= CryptoJS.enc.Base64.stringify(result.ciphertext);

Answer 1

C# 库生成一个随机 IV。由于该 IV 的大小为 128 位，因此不可能使用 CryptoJS 生成相同的 IV。而且您不需要：对于解密，您只需将 IV 与密文一起发送。然后你可以直接设置它来代替解密。

你也可以这样做：在 CryptoJS 站点上生成一个随机 IV，将 IV 与密文一起发送到 C# 端，然后将其发送到 C# 实现。

通常，IV 只是简单地作为密文的前缀。对于 CBC 模式，IV 的大小总是正好是一个块：对于 AES，128 位 / 16 字节。所以大小是已知的，这样就很容易从密文的开头检索它。

---

注意：

• 在不使用 HMAC 的情况下使用 CBC 对于传输模式的安全性完全不安全 - 攻击者不仅会使您收到无效的明文，而且 CBC 还容易受到明文/填充预言机攻击；
• CBC 需要一个不可预测的 IV，当使用相同的密钥时，每个明文的 IV 都不同 - 通常这意味着生成一个随机 IV；
• ISO/IEC 10126 兼容填充在很大程度上已被弃用，现在每个人都使用 PKCS#7 兼容填充，无论如何对于 CBC：大多数其他模式根本不需要填充（但 .NET 对其他操作模式的支持非常糟糕)。