解密返回空字符串

Question

我正在尝试加密来自 android 的消息，然后在网络中解密。

首先，我使用 Javascript 生成一个密钥并将其存储在我的数据库中

var text = "";
var possible = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789";

for( var i=0; i <10; i++ )
    text += possible.charAt(Math.floor(Math.random() * possible.length));
secondaryDatabase.ref().update({
    [displayName]:text
})

其次，我在 Java 中通过检索输入字段中的消息和数据库中的密钥来加密消息。

message.setText(message);
String key = String.valueOf(dataSnapshot);
encryptedI = AESCrypt.encrypt(key,message);

为了简单起见，让我们假设消息是“hello world”，密钥是密码

String message = "hello world";
String key = "password";
encryptedI = AESCrypt.encrypt(key,message);

第三，我将加密的消息存储在数据库中。

mRef.child(uid).child("encryptedmessage").setValue(encryptedI);

最后，我使用 javascript 上的 Cryto-js 从数据库中检索到的密钥解密了消息，但它返回一个空字符串

var decrypted = CryptoJS.AES.decrypt(message,key);
var decryptedvalue=decrypted.toString(CryptoJS.enc.Utf8)

我检查了使用的密钥和加密消息是否相同，我什至用 Java 解密以确保加密正确完成。 我在 Android 中使用https://github.com/scottyab/AESCrypt-Android 进行加密 而 cryto-js 用于在 javascript 中解密

问题是为什么它返回一个空字符串，我该如何解决它。

Answer 1

您不能只是将两个不同的库放在一起并希望它们兼容。尽管 AES 本身已经标准化，但它只是被标准化为具有三种可能的密钥大小的分组密码：AES-128、AES-192 和 AES-256。要真正加密某些东西，您需要一种操作模式和可能的填充。如果您想使用密码而不是密钥，您需要从密码中派生一个密钥，例如使用 PBKDF2。

---

由于您提到的这两个库都很弱且指定错误，我强烈建议您找到两个兼容的基于密码的 Java 和 JavaScript 加密库。

应该可以同时使用 Crypto-JS 和 Android 来执行 PBKDF2。不过，我不会使用独立的加密库，只需使用 Android 已经提供的功能即可。不要忘记实现高迭代次数并确保使用的密码符合标准。如果您需要任何类型的安全性，您可以使用经过身份验证的加密或使用 HMAC-SHA256 或类似方法自行实现。

由于我不了解您的用例或威胁模型（而且我不打算），因此仅将其视为正确方向的一般提示，而不是可靠的安全建议。