CryptoJS 解密 (AES) 来自 Java 的文件字节数组

Question

我正在用 Java 加密文件，需要在客户端对其进行解密。 这是服务器端代码：

Key secretKey = new SecretKeySpec("mysecretmysecret".getBytes(), "AES");
Cipher cipher = Cipher.getInstance("AES");
cipher.init(Cipher.ENCRYPT_MODE, secretKey);
byte[] outputBytes = cipher.doFinal(read(sampleFile));
return outputBytes;

在客户端，我使用 Ajax 请求来获取文件并使用 CryptoJS AES：

var xhr = new XMLHttpRequest();
xhr.open('GET', 'file', true);
xhr.responseType = 'arraybuffer';

xhr.onload = function (e) {
        var encryptedData = this.response;
        var decrypted = CryptoJS.AES.decrypt(encryptedData, "mysecretmysecret");
        console.log(decrypted);
};
xhr.send();

但这不会解密文件。我将此打印为控制台中的解密值：

W…y.init {words: Array[0], sigBytes: 0}

我也尝试将 arraybuffer 转换为 WordArray 建议 here 但仍然是相同的结果。 如果有人能指出我正确的方向并告诉我我做错了什么，我会非常高兴。

编辑 1： 我已经解决了这个问题。我使用的代码作为答案发布。

Answer 1

所以我终于解决了这个问题。感谢 Artjom 指出了正确的方向。 我已更改我的 Java 代码以将 CBC 与 PKCS5Padding 一起使用。

Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
SecretKeySpec myKey = new SecretKeySpec("mysecretmysecret".getBytes(), "AES");
IvParameterSpec IVKey = new IvParameterSpec("mysecretmysecret".getBytes());
cipher.init(Cipher.ENCRYPT_MODE, myKey, IVKey);
byte[] outputBytes = cipher.doFinal(read(sampleFile));
return outputBytes;

我的 javascript 是这样的：

var xhr = new XMLHttpRequest();
xhr.open('GET', 'file', true);
xhr.responseType = 'arraybuffer';

xhr.onload = function(e) {
    var encryptedData = this.response;
    var passwordWords = CryptoJS.enc.Utf8.parse("mysecretmysecret"); //yes I know, not a big secret!
    var wordArray = CryptoJS.lib.WordArray.create(encryptedData);
    var decrypted = CryptoJS.AES.decrypt({
        ciphertext: wordArray
    }, passwordWords, {
        iv: passwordWords, //yes I used password as iv too. Dont mind.
        mode: CryptoJS.mode.CBC,
        padding: CryptoJS.pad.Pkcs7
    });
    console.log(decrypted); //Eureka!!
};

xhr.send();

decrypted 是一个 WordArray。

Answer 2

让我们回顾一下，您正在使用的 Java 中

• AES，
• ECB（未指定，但通常是默认值；不安全！），
• PKCS#7 填充（未指定，但通常是默认值；它与 PKCS#5 填充相同），并且
• 16 个字符的密码作为 16 个字节的密钥（取决于默认系统编码）。

如果密钥作为字符串传递给 CryptoJS，它必须使用 OpenSSL 的 EVP_BytesToKey 和单轮 MD5 从假定的密码中派生密钥。由于您的密文未以 OpenSSL 兼容格式编码，因此它将失败。问题是，你不需要那个。

以下代码可以正确解密来自 Java 的密文，但不是很安全：

var passwordWords = CryptoJS.enc.Utf8.parse("mysecretmysecret");
var decrypted = CryptoJS.AES.decrypt({
    ciphertext: CryptoJS.lib.WordArray.create(encryptedData) // or use some encoding
}, passwordWords, {
    mode: CryptoJS.mode.ECB
});
console.log(decrypted.toString(CryptoJS.enc.Utf8)); // in case the plaintext is text

基本汇总中不包含 ECB 模式，因此您必须在页面中的主要 CryptoJS 文件之后包含 JavaScript file。
此外，默认情况下 CryptoJS 不处理 ArrayBuffer。您需要为此添加shim（来源：this answer）。

---

问题在于它的不安全性。 ECB模式非常不安全。

• 切勿使用ECB mode。它是确定性的，因此在语义上不安全。您至少应该使用像CBC 或CTR 这样的随机模式。 IV/nonce 不是秘密的，因此您可以将其与密文一起发送。一种常见的方法是放在密文前面。

• 最好对您的密文进行身份验证，这样就不会像padding oracle attack 这样的攻击。这可以通过 GCM 或 EAX 等经过身份验证的模式或encrypt-then-MAC 方案来完成。

• 可以从密码派生密钥，但应使用适当的方案，例如 PBKDF2。 Java 和 CryptoJS 都支持这些。