确定 flutter 的属性 encrypt.dart

Determining attributes of flutter encrypt.dart

我正在使用 encrypt.dart 根据 32 位密码(“密码”)对字符串(“文本”)进行 AES 加密,如下所示:

encryptPass(String text, String password) {
   final key = getKey(password);
   final iv = encrypt.IV.fromLength(16);
   final encrypter = encrypt.Encrypter(encrypt.AES(key)); //Uses AES/SIC/PKCS7
   final e = encrypter.encrypt(text, iv: iv);
   String encryptedString = e.base64.toString();
   return encryptedString;
}

 getKey(String masterPass) {
   String keyString = masterPass;
   if (keyString.length < 32) {
     int count = 32 - keyString.length;
     for (var i = 0; i < count; i++) {
       keyString += ".";
     }
   }
   final keyReturn = encrypt.Key.fromUtf8(keyString);
   return keyReturn;
 }

旁注:这是有效的,但对于给定的输入字符串,它每次都会产生相同的值,即使我的“iv”和“salt”应该是随机的。这是怎么发生的?

主要问题: 我正在尝试使用 kotlin 中的海绵城堡重新创建此过程。问题是我不知道 encrypt.dart AES 函数的某些重要属性。什么值用于:

盐长度:16、32、128、256?? (encrypted.dart 中的“desiredKeyLength”变量。未在任何地方指定) 迭代次数:(我认为这是100,但我不确定。) 密钥算法: 我假设 PBKDF2WithHmacSHA1 基于 encrypted.dart 的“最终 pbkdf2”。 密钥长度: ?

下面是我目前在spongy castle实现上的尝试,供参考:

fun encryptAESBasic(input: String, password: String): String {
    Security.insertProviderAt(org.spongycastle.jce.provider.BouncyCastleProvider(), 1)
    val masterpw = password.toCharArray()
    val random = SecureRandom()
    val salt = ByteArray(256)
    random.nextBytes(salt)
    val factory: SecretKeyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1")
    val spec: KeySpec = PBEKeySpec(masterpw, salt, 100, 128)
    val tmp: SecretKey = factory.generateSecret(spec)
    val key: SecretKey = tmp
    val cipher = Cipher.getInstance("AES/SIC/PKCS7PADDING", "SC")
    val iv = ByteArray(16)
    SecureRandom().nextBytes(iv)
    cipher.init(Cipher.ENCRYPT_MODE, key, IvParameterSpec(iv))
    val cipherText: ByteArray = cipher.doFinal(input.toByteArray())
    return cipherText.toString()
}

以下数据(您问题的答案)取自 https://github.com/leocavalcante/encrypt/blob/5.x/lib/src/encrypted.dart(第 65-72 行):

iterationCount = 100
PBKDF2KeyDerivator(Mac('SHA-1/HMAC')) = PBKDF2WithHmacSHA1
The key length is taken from the key instantiation: final key = Key.fromLength(32);
and the salt length is equal to the key length: salt = SecureRandom(desiredKeyLength).bytes;

算法模式默认在https://github.com/leocavalcante/encrypt/blob/5.x/lib/src/algorithms/aes.dart默认为SIC

"AES(this.key, {this.mode = AESMode.sic, this.padding = 'PKCS7'}"

Dart 代码使用零 IV(仅由 0x00 值组成的 IV),这就是为什么总是生成相同的密文。

如您所知,Dart 代码默认应用 SIC 模式和 PKCS7 填充。 SIC 模式是 CTR 模式的另一个名称,它是一种流密码模式,因此不需要任何填充。因此,Dart 代码中使用的 PKCS7 填充是不必要的。

请注意,将 CTR 模式与静态 IV(例如零 IV)结合使用是一个 致命的 错误,并且通常非常不安全(s. here ).

作为密钥推导,Dart 代码用 . 填充密码,直到密钥大小为 32 字节,这是 AES-256 所要求的。这种密钥推导也很不安全。使用密码时,应始终使用可靠的密钥派生函数,例如 PBKDF2(如 Kotlin 代码中所述)。

因此,在移植到 Kotlin 之前,应该修改 Dart 代码并使其更加安全。这需要进行以下更改:

  • 每次加密都会生成一个随机 IV。
  • 应禁用 PKCS7 填充。
  • 代码不检查密文的authenticity/integrity。一个额外的认证标签(MAC) must be applied for this purpose. It is recommended to switch from CTR to GCM模式,它基于CTR模式,但除了机密性(authenticated encryption)之外还包括数据authenticity/integrity并隐式生成标签。
  • 必须使用安全密钥派生(例如 PBKDF2,请参阅 Kotlin 代码)。与此相结合,将为每个密钥派生生成一个随机盐(s. 也是 )。
  • Salt 和 IV(都不是秘密)以及标签将与密文连接(salt|IV|ciphertext|tag)。请注意,对于 GCM,许多库会隐式执行密文和标签的连接。

当然 - 从技术角度来看 - Dart 代码可以移植到 Kotlin,例如 

fun encryptPass(text: String, password: String): String {
    val secretKeySpec = SecretKeySpec(getKey(password), "AES")                              // Apply a reliable key derivation function (getKey() is insecure)
    val cipher = Cipher.getInstance("AES/CTR/PKCS5PADDING")                                 // Disable padding (CTR doesn't require padding)
    val iv = ByteArray(16)                                                                  // Generate random IV (CTR with static IV is extremely insecure)
    cipher.init(Cipher.ENCRYPT_MODE, secretKeySpec, IvParameterSpec(iv))
    val cipherText: ByteArray = cipher.doFinal(text.toByteArray(Charset.forName("UTF-8")))  // Authenticity/integrity missing
    return Base64.encodeToString(cipherText, Base64.DEFAULT);                               // Concatenation of salt, IV, ciphertext and authentication tag missing
}

fun getKey(masterPass: String): ByteArray {
    return masterPass.padEnd(32, '.').toByteArray(Charset.forName("UTF-8"))
}

给出与 Dart 代码相同的结果(不需要使用 SpongyCastle),但出于安全原因不应使用此代码。