【发布时间】:2021-04-05 18:50:53
【问题描述】:
我有以下:
let original = 'something'
let passphrase = uuidv4()
// will take place on the server
let encrypted = CryptoJS.AES.encrypt(original, passphrase)
// will take place on the browser
// I want this part to take ≈ 10 minutes *minimum*
let decrypted = CryptoJS.AES.decrypt(encrypted, passphrase)
我尝试了一种迭代方法。控制所需的解密迭代意味着您还可以在一定程度上控制解密时间:
// increase this until we reach the desired decryption time on the browser
let numberOfEncryptions = 2
// will take place on the server
let encrypted = CryptoJS.AES.encrypt(original, passphrase).toString()
let i = 0
while (i < numberOfEncryptions) {
encrypted = CryptoJS.AES.encrypt(encrypted, passphrase).toString()
i++
}
// will take place on the browser:
let decrypted = CryptoJS.AES.decrypt(encrypted, passphrase).toString(CryptoJS.enc.Utf8)
i = 0
while (i < numberOfEncryptions) {
decrypted = CryptoJS.AES.decrypt(decrypted, passphrase).toString(CryptoJS.enc.Utf8)
i++
}
await checkWithServer(decrypted) // returns true
结果令人失望。
增加服务器上的加密次数也会增加浏览器上的解密时间,这很棒,因为这正是我想要的。
但它也成倍地增加了加密文件的大小,这太可怕了,因为用户不可能下载这么大的文件来解密它。
还有其他解决办法吗?
更新:
@SlavaKnyazev 建议我应该对用于加密数据的密码进行加密,并向最终用户发送提示,让他们暴力破解密码。
用户将花时间暴力破解密码,而不是花时间解密数据本身。
这就是我尝试实现的方式(作为测试):
const KEY = 'ab' // uuidv4()
const dataToEncrypt = 'The Message'
const md5key = CryptoJS.MD5(KEY).toString()
const encrypted = CryptoJS.AES.encrypt(dataToEncrypt, md5key)
const sha1keyHint = CryptoJS.SHA1(KEY).toString()
let pool = 'abcdefghijklmnopqrstuvwxyz'.split('')
let before = Date.now()
let after
let md5keyFromHint
bruteForce(pool, (value) => {
if(CryptoJS.SHA1(value).toString() === sha1keyHint) {
md5keyFromHint = CryptoJS.MD5(value).toString()
after = Date.now()
console.log(`KEY is ${value}`)
console.log(`Found after ${(after - before) / 1000} seconds`)
return true
}
return false
})
const decrypted = CryptoJS.AES.decrypt(encrypted, md5keyFromHint).toString(CryptoJS.enc.Utf8)
console.log(dataToEncrypt === decrypted) // returns true
我发现KEY 必须相当“简单”,而不是我最初想的uuidv4()。否则,它可能需要永远。另外,我使用的 brute)forcing 方法需要一个字符“池”来查看,我猜池越大,需要的时间越长。
我的问题再次是用户不会花时间解密实际数据。所以感觉就像是 PoW,即伪装。
但我会考虑这次回答的问题,并会在此停止。 :-)
我最初的目标显然是不可能的。感谢您的帮助。
【问题讨论】:
-
您能否详细说明为什么您需要这个?可能有更好的方法。
-
我猜你没有把Rani's advice from the previous question放在心上:“不要向用户提供完整的解密密码。只提供部分密钥,让他们猜测/搜索其余的关键。”
-
我做到了,但现在交给我的要求是这个最短时间限制。无论我要求用户解密什么类型的数据,我如何控制它?希望这篇文章的格式更清晰,而不仅仅是重复:)
-
@SlavaKnyazev 我更新了更多细节
标签: javascript encryption cryptography cryptojs brute-force