Mã hóa AES trong CryptoJS và giải mã trong Coldfusion

Question

Dịch vụ Đăng nhập Im lặng được viết bằng Coldfusion9 chấp nhận các chuỗi được mã hóa từ các hệ thống bên ngoài và sau đó giải mã dựa trên thiết lập Thuật toán/Mã hóa đã được đồng ý. Điều này đã làm việc mà không có vấn đề trong nhiều năm nay từ các hệ thống chạy ASP/JAVA/PHP, nhưng bây giờ chúng ta có một khách hàng không có lựa chọn nào khác ngoài sử dụng CryptoJS để thực hiện mã hóa và cho cuộc sống của tôi. giải mã trong Coldfusion.

Kiến thức về mã hóa của tôi không phải là điều tuyệt vời nhưng điều tôi nhận thấy là mật mã được mã hóa của CryptoJS cho cùng một chuỗi/khóa giống nhau mỗi khi tôi thực hiện mã hóa trong khi Coldfusion/Java i luôn có thể được mã hóa chính xác chuỗi. Tôi không chắc liệu đây có phải là mã hóa có liên quan hay không nhưng tôi chưa bao giờ gặp vấn đề này khi chấp nhận chuỗi mã hóa từ bất kỳ hệ thống nào khác trước đây, vì vậy tôi hy vọng đó là cách tôi mã hóa trong CryptoJS không chính xác.

<cfoutput> 

<!--- Set String and Key ---> 
<cfset theKey = toBase64("1234567812345678")> 
<cfset string = "max.brenner@google.com.au"> 

<!--- CryptoJS AES Libraries ---> 
<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/rollups/aes.js"></script> 
<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/components/enc-base64-min.js"></script> 

<script> 

// Encrypt String using CryptoJS AES 
var encrypted = CryptoJS.AES.encrypt("#string#", "#theKey#"); 
console.log(encrypted.toString()); 

// Decrypt String using CryptoJS AES 
var decrypted = CryptoJS.AES.decrypt(encrypted, "#theKey#"); 
console.log(decrypted.toString(CryptoJS.enc.Utf8)); 

</script> 

<!--- Coldfusion Decrypt String/FAILS ---> 
Decrypted: #decrypt(encryptedEmail, "#theKey#", "AES", "BASE64")# 

</cfoutput> 

Answer 1

Dường như có hai vấn đề:

1. CryptoJS không sử dụng biến của bạn như key. Như @ Miguel-F đã đề cập, khi bạn chuyển một chuỗi, "it's treated as a passphrase and used to derive [the] actual key and IV". Cả hai được tạo ngẫu nhiên, đó là lý do tại sao kết quả được mã hóa của bạn tiếp tục thay đổi. Nhưng quan trọng hơn, điều này có nghĩa là CryptoJS đang sử dụng key hoàn toàn khác với mã trong mã CF của bạn và đó là lý do tại sao giải mã() không thành công. (Ít nhất nó là một phần của lý do ...)

2. Vấn đề thứ hai là ngoài thuật toán "AES", còn có hai cài đặt mã hóa khác phải khớp với: mode và padding scheme. Mặc dù CryptoJS và ColdFusion sử dụng cùng các mặc định cho sơ đồ đệm, các "chế độ" khác nhau:

   • ColdFusion uses "ECB". "AES" thực sự ngắn cho "AES/ECB/PKCS5Padding"
   • CryptoJS sử dụng "CBC", yêu cầu bổ sung giá trị iv (initialization vector).
     
     

Bạn cần phải đảm bảo tất cả ba thiết lập đều giống nhau ở cả hai bên. Hãy thử sử dụng chế độ CBC trong CF, vì nó an toàn hơn ECB. Lưu ý: Yêu cầu thêm giá trị IV.

Mã CF:

<!--- this is the base64 encrypted value from CryptoJS ---> 
<cfset encrypted = "J2f66oiDpZkFlQu26BDKL6ZwgNwN7T3ixst4JtMyNIY="> 
<cfset rawString = "max.brenner@google.com.au"> 
<cfset base64Key = "MTIzNDU2NzgxMjM0NTY3OA=="> 
<cfset base64IV = "EBESExQVFhcYGRobHB0eHw=="> 

<cfset ivBytes = binaryDecode(base64IV, "base64")> 
<cfoutput> 
    #decrypt(encrypted, base64Key, "AES/CBC/PKCS5Padding", "base64", ivBytes)# 
</cfoutput> 

CryptoJS: (Adjusted gốc Ví dụ)

<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/rollups/aes.js"></script> 
<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/components/enc-base64-min.js"></script> 
<script> 
    var text = "#rawString#"; 
    var key = CryptoJS.enc.Base64.parse("#base64Key#"); 
    var iv = CryptoJS.enc.Base64.parse("#base64IV#"); 

    var encrypted = CryptoJS.AES.encrypt(text, key, {iv: iv}); 
    console.log(encrypted.toString()); 

    var decrypted = CryptoJS.AES.decrypt(encrypted, key, {iv: iv}); 
    console.log(decrypted.toString(CryptoJS.enc.Utf8)); 
</script> 

Edit:

Tất cả những gì đã nói, ý của bạn là gì bởi khách hàng "không có lựa chọn nào khác ngoài việc sử dụng CryptoJS để thực hiện mã hóa"? Tại sao họ không thể sử dụng mã hóa phía máy chủ?Tôi không phải là chuyên gia mã hóa, nhưng thực hiện mã hóa bằng javascript và để lộ khóa trên máy khách, không âm thanh cực kỳ an toàn để bắt đầu ...