使用初始化向量和填充正确实现 AES 128 加密

Question

我使用初始化向量和填充实现了 AES 128 位加密，如下面的代码所示。我碰巧在使用 ColdFusion，但我认为这并不重要。加密的结果显示了一些重复的模式，这是我没有预料到的，但是我又不知道正确输出的特征。我是否正确地进行了初始化向量和填充？

<!---
To encrypt this, for example:
    "String1"
Prefix the string with an Initialization Vector of 16 random characters,
plus enough padding ("000000001") to make the entire string a multiple of 16 characters (32 characters, here)
    "HoMoz4yT0+WAU7CX000000001String1"
Now encrypt the string to this (64 characters):
    "Bn0k3q9aGJt91nWNA0xun6va8t8+OiJVmCqv0RzUzPWFyT4jUMzZ56pG5uFt6bGG"
--->

<cfoutput>

    <cfset EncryptKey="LpEecqQe3OderPakcZeMcw==">

    <cfloop index="StringToEncrypt" list="String1,String2,String3,String3">
        <!--- Make random Initialization Vector (IV) of length 16 
        (create it from GenerateSecretKey(), but GenerateSecretKey is NOT the key that we encrypt/decrypt with) --->
        <cfset IV=left(GenerateSecretKey("AES",128),16)>
        <!--- Pad the string so its length is a multiple of 16 --->
        <cfset padlength=16 - (len(StringToEncrypt) mod 16)>
        <cfset padding=repeatstring("0",padlength-1) & "1">
        <cfset NewStringToEncrypt=IV & padding & StringToEncrypt>
        <cfset EncryptedString=encrypt(NewStringToEncrypt,EncryptKey,"AES","Base64")>
<pre>Original string: #StringToEncrypt#
StringToEncrypt: #NewStringToEncrypt#
EncryptedString: #EncryptedString#</pre>
    </cfloop>

</cfoutput>

以下是示例输出：

Original string: String1
StringToEncrypt: QLkApY6XKka7mQge000000001String1
EncryptedString: BOAVeSKidQyyHrEa15x9Uava8t8+OiJVmCqv0RzUzPWFyT4jUMzZ56pG5uFt6bGG

Original string: String2
StringToEncrypt: DboCmHHuVrU05oTV000000001String2
EncryptedString: 4Yk14F0ffz9+djbvSiwA1/X3FHhS5Vhta7Q8iocBPhmFyT4jUMzZ56pG5uFt6bGG

Original string: String3
StringToEncrypt: 8om5VbbWQgvRWK7Q000000001String3
EncryptedString: 01AF+pmF9sDsUHcIXSVfom8Egv8Oiyb2yy12hiVcJjqFyT4jUMzZ56pG5uFt6bGG

Original string: String3
StringToEncrypt: T4qJodVe6aEv0p1E000000001String3
EncryptedString: aAjCbSBRZ+cd7ZwpFPZUxW8Egv8Oiyb2yy12hiVcJjqFyT4jUMzZ56pG5uFt6bGG

每个 EncryptedString 都以相同的 21 个字符结尾：

FyT4jUMzZ56pG5uFt6bGG

当原始字符串相同时（第 3 和第 4 个示例中的“String3”），EncryptedString 以相同的 42 个字符结尾：

8Egv8Oiyb2yy12hiVcJjqFyT4jUMzZ56pG5uFt6bGG

更新：根据接受的答案，我不应该自己做填充或初始化向量。 Coldfusion 的加密/解密功能可以自动处理，加密的值不会有重复的模式。例如：

EncryptedString=encrypt(StringToEncrypt, EncryptKey, 'AES/CBC/PKCS5Padding', 'Base64')
DecryptedString=decrypt(EncryptedString, EncryptKey, 'AES/CBC/PKCS5Padding', 'Base64')

Answer 1

不要不要自己做填充，而是让加密函数来做。它附加到纯文本中，而不是附加在前面。通常的填充称为 PKCS5 填充，将 $t$ 乘以字节 $t \in {1,2,3,\ldots,16}$ 以组成完整的块。

另外，iv 是 encrypt 函数的参数，而不是在明文之前。它实际上是（当你使用像 CBC、OFB、CFB 这样的链模式时）预先添加到密文中。

因此，您可以照常生成 IV（尽管可能有更好的功能），然后按原样使用明文并加密：

EncryptedString=encrypt(StringToEncrypt, EncryptKey, 'AES/CBC/PKCS5Padding', 'Base64', binaryDecode(IV, "base64"))

（基于this documentation）

添加了 2 个 根据这些文档，iv 应该是二进制的，因此必须转换 generateKey 的 base64。感谢@Agax 和他的“cftry”示例向 cmets 致谢...

加了1原来省略IV会导致函数 以一种看似不重复的方式生成自己的 IV。 在任何情况下我们都可以使用

EncryptedString=encrypt(StringToEncrypt, EncryptKey, 'AES/CBC/PKCS5Padding', 'Base64')

相反。必须使用像 CBC 这样的链接模式来从随机 IV 中获得传播效果，该 IV 掩盖相同的明文并且默认的“AES”保持可见（这可能是 ECB 模式）。

IV 实际上并没有附加到密文中，当我们将其作为参数给出时，因此您必须以某种方式记住它才能解密第一个纯文本块。很不标准。当您让 encrypt 自己生成它时，它确实会添加它。所以你必须使用相同的签名版本的解密。

Answer 2

一个可能的原因是您使用的 AES 模式在加密当前块之前没有将前一个块与当前块一起使用。

例如，CBC 模式在加密当前块之前与前一个块密文和当前块明文执行 XOR。这意味着即使使用相同的字符串（“string3”）和相同的键，不同的IV也会产生完全不同的结果，并且永远不会出现字符串重复。

使用 XOR 的其他 AES 模式包括：CBC、PCBC、OFB、CFB。这个 link 更详细地描述了 AES 的不同模式（在“常见模式”部分下）。