AES 初始化向量随机化

Question

我正在尝试使用初始化向量重用 AES 实现。到目前为止，我只实现了在 android 应用程序上加密数据并在 php 服务器上解密数据的部分。但是，该算法有一个重大漏洞，即初始化向量是恒定的，我最近才发现这是一个重大安全漏洞。不幸的是，我已经在我的应用程序的每一个活动和服务器端的所有脚本中实现了它。 我想知道是否有办法修改此代码以使初始化向量随机化，以及以某种方式将该向量发送到服务器（反之亦然），以便每次加密消息时模式都会不断变化。这是我的 Android 和 PHP 代码：

安卓：

package com.fyp.merchantapp;

// This file and its contents have been taken from http://www.androidsnippets.com/encrypt-decrypt-between-android-and-php.html 
//Ownership has been acknowledged

import java.security.NoSuchAlgorithmException;

import javax.crypto.Cipher;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;

public class MCrypt {
static char[] HEX_CHARS = {'0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f'};

private String iv = "MyNameIsHamza100";//(IV)
private IvParameterSpec ivspec;
private SecretKeySpec keyspec;
private Cipher cipher;

private String SecretKey = "MyNameIsBilal100";//(SECRETKEY)

public MCrypt()
{
    ivspec = new IvParameterSpec(iv.getBytes());

    keyspec = new SecretKeySpec(SecretKey.getBytes(), "AES");
    try {
        cipher = Cipher.getInstance("AES/CBC/NoPadding");
    } catch (NoSuchAlgorithmException e) {
        // TODO Auto-generated catch block
        e.printStackTrace();
    } catch (NoSuchPaddingException e) {
        // TODO Auto-generated catch block
        e.printStackTrace();
    }
}

public byte[] encrypt(String text) throws Exception
{
    if(text == null || text.length() == 0)
        throw new Exception("Empty string");

    byte[] encrypted = null;

    try {
        cipher.init(Cipher.ENCRYPT_MODE, keyspec, ivspec);

        encrypted = cipher.doFinal(padString(text).getBytes());
    } catch (Exception e)
    {
        throw new Exception("[encrypt] " + e.getMessage());
    }

    return encrypted;
}

public byte[] decrypt(String code) throws Exception
{
    if(code == null || code.length() == 0)
        throw new Exception("Empty string");

    byte[] decrypted = null;

    try {
        cipher.init(Cipher.DECRYPT_MODE, keyspec, ivspec);

        decrypted = cipher.doFinal(hexToBytes(code));
        //Remove trailing zeroes
        if( decrypted.length > 0)
        {
            int trim = 0;
            for( int i = decrypted.length - 1; i >= 0; i-- ) if( decrypted[i] == 0 ) trim++;

            if( trim > 0 )
            {
                byte[] newArray = new byte[decrypted.length - trim];
                System.arraycopy(decrypted, 0, newArray, 0, decrypted.length - trim);
                decrypted = newArray;
            }
        }
    } catch (Exception e)
    {
        throw new Exception("[decrypt] " + e.getMessage());
    }
    return decrypted;
}


public static String bytesToHex(byte[] buf)
{
    char[] chars = new char[2 * buf.length];
    for (int i = 0; i < buf.length; ++i)
    {
        chars[2 * i] = HEX_CHARS[(buf[i] & 0xF0) >>> 4];
        chars[2 * i + 1] = HEX_CHARS[buf[i] & 0x0F];
    }
    return new String(chars);
}


public static byte[] hexToBytes(String str) {
    if (str==null) {
        return null;
    } else if (str.length() < 2) {
        return null;
    } else {
        int len = str.length() / 2;
        byte[] buffer = new byte[len];
        for (int i=0; i<len; i++) {
            buffer[i] = (byte) Integer.parseInt(str.substring(i*2,i*2+2),16);
        }
        return buffer;
    }
}



private static String padString(String source)
{
    char paddingChar = 0;
    int size = 16;
    int x = source.length() % size;
    int padLength = size - x;

    for (int i = 0; i < padLength; i++)
    {
        source += paddingChar;
    }

    return source;
}
}

PHP：

<?php
class MCrypt
{
    private $iv = 'MyNameIsHamza100'; #Same as in JAVA
    private $key = 'MyNameIsBilal100'; #Same as in JAVA
    function __construct()
    {
    }
    /**
     * @param string $str
     * @param bool $isBinary whether to encrypt as binary or not. Default is: false
     * @return string Encrypted data
     */
    function encrypt($str, $isBinary = false)
    {
        $iv = $this->iv;
        $str = $isBinary ? $str : utf8_decode($str);
        $td = mcrypt_module_open('rijndael-128', ' ', 'cbc', $iv);
        mcrypt_generic_init($td, $this->key, $iv);
        $encrypted = mcrypt_generic($td, $str);
        mcrypt_generic_deinit($td);
        mcrypt_module_close($td);
        return $isBinary ? $encrypted : bin2hex($encrypted);
    }
    /**
     * @param string $code
     * @param bool $isBinary whether to decrypt as binary or not. Default is: false
     * @return string Decrypted data
     */
    function decrypt($code, $isBinary = false)
    {
        $code = $isBinary ? $code : $this->hex2bin($code);
        $iv = $this->iv;
        $td = mcrypt_module_open('rijndael-128', ' ', 'cbc', $iv);
        mcrypt_generic_init($td, $this->key, $iv);
        $decrypted = mdecrypt_generic($td, $code);
        mcrypt_generic_deinit($td);
        mcrypt_module_close($td);
        return $isBinary ? trim($decrypted) : utf8_encode(trim($decrypted));
    }
    protected function hex2bin($hexdata)
    {
        $bindata = '';
        for ($i = 0; $i < strlen($hexdata); $i += 2) {
            $bindata .= chr(hexdec(substr($hexdata, $i, 2)));
        }
        return $bindata;
    }
}
?>

Answer 1

直接回答您的问题：您可以简单地生成一个随机 IV 并将其添加到密文的前缀。您需要在将密文编码为十六进制之前 执行此操作。然后在解密时先解码，然后“移除”IV字节，初始化IV，最后解密密文得到明文。

请注意，对于 CBC 模式下的 AES，IV 始终为 16 字节，因此无需在任何地方直接包含 IV 长度。我在“remove”周围使用了引号，因为IvParameterSpec 和Cipher.doFinal 都接受带有偏移和长度的缓冲区；无需将字节复制到不同的数组中。

---

注意事项：

• 键不应该是字符串；查找 PBKDF，例如 PBKDF2，以从密码或密码短语中派生密钥；
• CBC 通常容易受到 padding oracle 攻击；但是，通过保持 PHP 的零填充，您可能会意外避免攻击；
• CBC 不提供完整性保护，因此请注意攻击者可能会更改密文而不会解密失败；
• 如果使用文本的底层代码产生错误，那么您可能容易受到明文预言机攻击（填充预言机攻击只是更大的明文预言机组的一部分）；
• 您的 Java 代码不平衡；加密和解密模式应该执行十六进制编码/解码，或者不应该；
• 异常处理当然不好（虽然可能只是举例）；
• String#getBytes() 将在 Android 上使用 UTF-8，但它可能在 Windows 上的 Java SE 上使用 Windows-1252，因此如果您不小心，这很容易生成错误的密钥 - 始终定义要使用的字符集。李>

---

要使用共享密钥进行通信，请尝试在预共享密钥模式下使用 TLS，该模式由 PSK_ 密码套件之一定义。