Openssl aes-256-cbc 从命令提示符加密并在 PHP 中解密(反之亦然)

Openssl aes-256-cbc encryption from command prompt and decryption in PHP (and vice versa)

我正在尝试通过 Windows 命令提示符加密 (openssl aes-256-cbc) 字符串并在 PHP 中解密结果。

我已经通过以下方式完成加密:

echo {un:est@test.com,upass:klkKJS*dfd!j@d76w} | openssl enc -e -aes-256-cbc -a -salt -pass pass:sw8/M!CLl:=cmgtHts?v/Wb7C$Vk9Sy-{go.*+E;[GAg~KQi*rI!1#z;x/KT

解密,我的php密码是:

$ivlen = openssl_cipher_iv_length('aes-256-cbc');
$iv = openssl_random_pseudo_bytes($ivlen);
echo openssl_decrypt('U2FsdGVkX18ruQUgA9LEOOvdOUQXv/o8z6ZNO820MKzSIbMjFcyfNo1efQwAOINxMY9+UxZjxaT+JEWmlUyYQw==', 'aes-256-cbc', 'sw8/M!CLl:=cmgtHts?v/Wb7C$Vk9Sy-{go.*+E;[GAg~KQi*rI!1#z;x/KT', $options=0, $iv);

但是解密后的字符串是空的。请帮忙。

(注意:我还需要做相反的过程,即在php中加密,在WIN命令提示符下解密。所以请添加任何可能有帮助的建议。)

OpenSSL 语句在加密过程中生成一个随机的 8 字节盐,与密码一起使用,用 OpenSSL 函数导出 32 字节密钥和 16 字节 IV EVP_BytesToKey()

使用密钥和 IV,加密是在 CBC 模式下使用 AES-256 执行的。结果由 Salted__ 的 ASCII 编码串联而成,后跟盐和实际密文,所有 Base64 编码。

PHP/OpenSSL中的解密必须实现如下:

  • salt和实际密文的确定。
  • 使用盐、密码和 EVP_BytesToKey() 获取密钥和 IV。
  • 使用密钥和 IV 在 CBC 模式下使用 AES-256 执行解密。

一种可能的实现方式是:

<?php
function EVP_BytesToKey($salt, $password) {
    $bytes = '';
    $last = '';
    while(strlen($bytes) < 48) {
        $last = hash('md5', $last . $password . $salt, true);
        $bytes.= $last;
    }
    return $bytes;
} 
    
$saltCiphertext = base64_decode('U2FsdGVkX18ruQUgA9LEOOvdOUQXv/o8z6ZNO820MKzSIbMjFcyfNo1efQwAOINxMY9+UxZjxaT+JEWmlUyYQw==');
$salt = substr($saltCiphertext, 8, 8);
$ciphertext = substr($saltCiphertext, 16);
$keyIv = EVP_BytesToKey($salt, 'sw8/M!CLl:=cmgtHts?v/Wb7C$Vk9Sy-{go.*+E;[GAg~KQi*rI!1#z;x/KT');
$key = substr($keyIv, 0, 32);
$iv = substr($keyIv, 32);
echo openssl_decrypt($ciphertext, 'aes-256-cbc', $key, OPENSSL_RAW_DATA, $iv); // {un:est@test.com,upass:klkKJS*dfd!j@d76w}
?>

在早期版本中,OpenSSL 默认使用 MD5 作为 EVP_BytesToKey() 中的摘要,从版本 V1.1.0 SHA256 开始。在贴出的例子中,用MD5解密是成功的,所以显然是用MD5加密的。
请注意,如今使用 EVP_BytesToKey() 的密钥派生被认为是不安全的。

根据 for PHP openssl decryption of a string encoded through command prompt, here is an example of the opposite (PHP encryption to decode in command line). Thanks to @Topaco's comment and this piece of code 的建议。

<?php
function EVP_BytesToKey($salt, $password) {
    $bytes = '';
    $last = '';
    while(strlen($bytes) < 48) {
        $last = hash('md5', $last . $password . $salt, true);
        $bytes.= $last;
    }
    return $bytes;
}

$saltDeciphertext= '{un:est@test.com,upass:klkKJS*dfd!j@d76w}';
$crypttext = "Salted__";
$salt= random_bytes(8);
$crypttext .= $salt;
$keyIV= EVP_BytesToKey($salt, 'sw8/M!CLl:=cmgtHts?v/Wb7C$Vk9Sy-{go.*+E;[GAg~KQi*rI!1#z;x/KT');
$key = substr($keyIV, 0, 32);
$iv = substr($keyIV, 32);
$crypttext .= openssl_encrypt($saltDeciphertext, 'AES-256-CBC', $key, OPENSSL_RAW_DATA, $iv);
echo base64_encode($crypttext);
?>

后续解密命令:

echo U2FsdGVkX1+rDCycmwvc6rImKmrzaC9WTlzFanXt476975aYQcxPt2fgnRazm7CorGkpAWm9vmcu33YpiTYziw== | openssl enc -d -aes-256-cbc -a -salt -pass pass:sw8/M!CLl:=cmgtHts?v/Wb7C$Vk9Sy-{go.*+E;[GAg~KQi*rI!1#z;x/KT