使用 AES256 和 Node.js 解密超过 15 个字符的输入数据时出错答案

【问题标题】：Error when decrypt input data longer than 15 chars with AES256 and Node.js使用 AES256 和 Node.js 解密超过 15 个字符的输入数据时出错
【发布时间】：2016-02-08 17:41:54
【问题描述】：

我正在使用 Node.js 的加密模块和 AES-256-CBC 密码算法编写自己的安全类。

但是，当我尝试解密一个从长度超过 15 个字符的输入数据加密的加密字符串时，失败并出现以下错误：

crypto.js:153
var ret = this._handle.final();
Error: error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt

我认为问题在于加密或 IV 生成，实际上，加密的十六进制字符串总是 32 个字符长。

让我们一起回顾一下代码：

var crypto = require("crypto"),
    password = "mySecureKey",
    salt = "mySaltKey";

//generate the IV
crypto.pbkdf2(password , salt, 4096, 8, "sha1", function(err, key) {
    if (err) throw err;   
    var cipher_iv = new Buffer(key.toString('hex'));

    //encrypt the string
    var input = "helloPrettyWorld";
    cipher = crypto.createCipheriv("aes-256-cbc", new Buffer(password), cipher_iv);
    cipher.update(input, "utf8", "hex");
    var encrypted = cipher.final("hex"); //i.e: input = "hello"; encrypted = "2300743605fbdaf0171052ccc6322e96"

    //decrypt the string
    cipher = crypto.createDecipheriv("aes-256-cbc", new Buffer(password), cipher_iv); /* THE ERROR IS THROWN HERE */
    cipher.update(encrypted, "hex", "utf8")     
    var decrypted = cipher.final("utf8");
});

我尝试调整密码/盐的长度，甚至使用固定长度（32、16 等）的字符串，但没有解决问题。

回顾：

像“helloNiceWorld”（14 个字符）这样的输入数据将被完美地加密和解密，而像“helloPrettyWorld”（16 个字符）这样的输入数据则不会。

【问题讨论】：

标签： node.js encryption cryptography aes

【解决方案1】：

TL;DR您不使用cipher.update() 的结果而丢弃了部分明文和密文。

AES 是一种分组密码，仅适用于 16 字节的块（块大小）。 CBC 模式将此扩展到长度为块大小倍数的明文。然后需要填充（默认为 PKCS#7 填充）将明文填充到块大小的下一个倍数。

这意味着填充是完成加密之前最后一次操作的一部分。填充应用于cipher.final() 函数。

cipher.update() 返回密文的一部分，但不处理（在内部缓存）最后一个字节以应用填充。在加密结束时必须调用cipher.final()，以便将填充应用于最后缓存的字节并进行加密。

由于 PKCS#7 填充总是添加填充，当明文长度为 16 到 31 个字节时，您将获得两块填充的明文。现在，问题是您没有存储来自cipher.update() 调用的结果，这会导致密文不完整。如果您的消息小于单个块，则cipher.update() 将返回空的内容（字符串或缓冲区），您将从cipher.final() 获得完整的密文。

不要忘记连接不同的密文和明文部分：

cipher = crypto.createCipheriv("aes-256-cbc", new Buffer(password), cipher_iv);
var encrypted = cipher.update(input, "utf8", "hex");
encrypted += cipher.final("hex");

//decrypt the string
cipher = crypto.createDecipheriv("aes-256-cbc", new Buffer(password), cipher_iv);
var decrypted = cipher.update(encrypted, "hex", "utf8")     
decrypted += cipher.final("utf8");

其他注意事项：

password = "mySecureKey" 如果这确实是一些文本，那么它不安全，也不是密钥，但正如变量名所说，它是一个密码。不要直接使用密码作为密钥。使用随机生成的 salt（每个密码）从密码中派生密钥。

此外，在每次加密期间生成一个新的随机 IV，并将其简单地放在密文前面。 IV 不一定是秘密的，但它必须是不可预测的。如果您重复使用 IV，那么观察您的密文的攻击者可能会确定您是否再次发送先前发送的消息。如果您使用随机 IV，您将获得语义安全性。

此外，使用 encrypt-then-MAC 方案和 HMAC-SHA256 等强 MAC 对您的密文进行身份验证。这使您能够检测对密文的任何（恶意）修改，并防止诸如填充预言攻击之类的攻击。

【讨论】：