Phi*_*sen 6 javascript encryption coldfusion aes cryptojs
我们有一个用Coldfusion9编写的静默登录服务,该服务接受来自外部系统的加密字符串,然后根据约定的算法/编码设置进行解密.多年来,从运行ASP/JAVA/PHP的系统开始,这一点没有问题,但我们现在有一个客户别无选择,只能使用CryptoJS来执行加密,而对于我的生活,我无法理解为什么这不会在Coldfusion中解密.
我的加密知识并不精彩,但我注意到的是CryptoJS加密的密文,完全相同的字符串/密钥每次执行加密时都不同,而在Coldfusion/Java中,我总能期望完全相同的加密字符串.我不确定这是否与编码相关,但我从来没有遇到过这个问题,之前接受来自任何其他系统的加密字符串,所以我希望这是我在CryptoJS中加密的方式不正确.
<cfoutput>
<!--- Set String and Key --->
<cfset theKey = toBase64("1234567812345678")>
<cfset string = "max.brenner@google.com.au">
<!--- CryptoJS AES Libraries --->
<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/rollups/aes.js"></script>
<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/components/enc-base64-min.js"></script>
<script>
// Encrypt String using CryptoJS AES
var encrypted = CryptoJS.AES.encrypt("#string#", "#theKey#");
console.log(encrypted.toString());
// Decrypt String using CryptoJS AES
var decrypted = CryptoJS.AES.decrypt(encrypted, "#theKey#");
console.log(decrypted.toString(CryptoJS.enc.Utf8));
</script>
<!--- Coldfusion Decrypt String / FAILS --->
Decrypted: #decrypt(encryptedEmail, "#theKey#", "AES", "BASE64")#
</cfoutput>
Lei*_*igh 11
似乎有两个问题:
CryptoJS没有使用你的变量作为key.正如@ Miguel-F所提到的那样,当你传入一个字符串时,"它被视为一个密码并用来导出[实际的密钥和IV".两者都是随机生成的,这就是加密结果不断变化的原因.但更重要的是,这意味着CryptoJS使用的完全不同于keyCF代码中的那个,这就是decrypt()失败的原因.(至少这是原因的一部分......)
第二个问题是除了算法"AES"之外,还有两个必须匹配的其他加密设置:模式和填充方案.虽然CryptoJS和ColdFusion对填充方案使用相同的默认值,但"模式"是不同的:
"AES/ECB/PKCS5Padding"iv(初始化向量)值.您需要确保双方的所有三个设置都相同.尝试在CF中使用CBC模式,因为它比ECB更安全.注意:它需要添加IV值.
CF代码:
<!--- this is the base64 encrypted value from CryptoJS --->
<cfset encrypted = "J2f66oiDpZkFlQu26BDKL6ZwgNwN7T3ixst4JtMyNIY=">
<cfset rawString = "max.brenner@google.com.au">
<cfset base64Key = "MTIzNDU2NzgxMjM0NTY3OA==">
<cfset base64IV = "EBESExQVFhcYGRobHB0eHw==">
<cfset ivBytes = binaryDecode(base64IV, "base64")>
<cfoutput>
#decrypt(encrypted, base64Key, "AES/CBC/PKCS5Padding", "base64", ivBytes)#
</cfoutput>
CryptoJS :(调整原始示例)
<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/rollups/aes.js"></script>
<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/components/enc-base64-min.js"></script>
<script>
var text = "#rawString#";
var key = CryptoJS.enc.Base64.parse("#base64Key#");
var iv = CryptoJS.enc.Base64.parse("#base64IV#");
var encrypted = CryptoJS.AES.encrypt(text, key, {iv: iv});
console.log(encrypted.toString());
var decrypted = CryptoJS.AES.decrypt(encrypted, key, {iv: iv});
console.log(decrypted.toString(CryptoJS.enc.Utf8));
</script>
编辑:
总而言之,客户是什么意思"别无选择,只能使用CryptoJS来执行加密"?为什么他们不能使用服务器端加密?我不是加密专家,但是在javascript中进行加密,并在客户端上公开密钥,开始时听起来并不安全......
| 归档时间: |
|
| 查看次数: |
33626 次 |
| 最近记录: |