我对密码学不太了解,但是当我在 python 中使用密码学库并尝试生成密钥时,密钥长度在 32 以上
from cryptography.fernet import Fernet
import base64
key = Fernet.generate_key()
>>>x2pXHXqCcUGjcq4HTcvdqH5xSEF_SLATO6p1Xk3tejM=
如果我使用这个密钥来解密 在线 或在 python 之外的消息,它会说密钥的最大长度是 32 我读到密码库使用 128 位密钥 CBC AES。
我不确定这是否与填充有关,我的问题是是否可以使用此密钥在 python 外部解密 Fernet 加密的消息,或者无论如何我可以获得原始的 16 字节密钥(因为它应该使用128键)
【问题讨论】:
标签: python python-3.x cryptography python-cryptography
Fernet.generate_key() 生成并由构造函数预期的密钥实际上由两个 128 位密钥组成:一个用于签名,另一个用于加密,按此顺序连接。
来自source code:
key = base64.urlsafe_b64decode(key)
if len(key) != 32:
raise ValueError(
"Fernet key must be 32 url-safe base64-encoded bytes."
)
self._signing_key = key[:16]
self._encryption_key = key[16:]
感谢@PaulKehrer 更新
这在format specification 中有描述,引用如下:
一个fernet key是以下字段的base64url编码:
Signing-key ‖ Encryption-key
使用低级库和服务解密 Fernet 消息需要手动解析 token format:
【讨论】: