javascript - Python3/Django 中 Javascript 的 CryptoJS.enc.base64.stringify(data) 的逆运算是什么?
问题描述
我正在尝试在 Javascript 中加密并在 Python/Django 中解密相同的数据。
免责声明:不是生产级代码,而是学习概念
我通过 Diffie Hellman(使用 jQuery 的 Ajax)生成一个密钥,我将它传递给下面的加密函数。输入通常是 JSON 格式的 ID 和密码。
这就是加密发生的方式。{在某处找到代码。}
function toWordArray(str){
return CryptoJS.enc.Utf8.parse(str);
}
function toString(words){
return CryptoJS.enc.Utf8.stringify(words);
}
function toBase64String(words){
return CryptoJS.enc.Base64.stringify(words);
}
function encrypt(input, key){
console.log("Input: " + input);
var PROTOCOL_AES256 = 2;
var secret_key = CryptoJS.SHA256(key);
var header = toWordArray("AMAZON" + String.fromCharCode(PROTOCOL_AES256));
var iv = CryptoJS.lib.WordArray.random(16);
var body = CryptoJS.AES.encrypt(input, secret_key, {iv: iv});
// construct the packet
// HEADER + IV + BODY
header.concat(iv);
header.concat(body.ciphertext);
console.log("Bytes before Base64 encoding: " + header); //Line 1
// encode in base64
return toBase64String(header);
}
我得到的输出如下:
final key: 47 signin:119:33
Input: {"name":"Buzz","password":"lightyear"} signin:55:25
Bytes before Base64 encoding: 414d415a4f4e02e8ec9b8a949eb754e305acfbe5207f1ebe75272c18146bca57ce399928c0ffd7e506d90e11b011da42b1bd8d2393ec59cc926cef33c2121da3f48dfd59925138 signin:67:25
Payload: QU1BWk9OAujsm4qUnrdU4wWs++Ugfx6+dScsGBRrylfOOZkowP/X5QbZDhGwEdpCsb2NI5PsWcySbO8zwhIdo/SN/VmSUTg= signin:137:37
XHRGEThttp://127.0.0.1:8000/Shenzen/actsignin/?encrypted_string=QU1BWk9OAujsm4qUnrdU4wWs%2B%2BUgfx6%2BdScsGBRrylfOOZkowP%2FX5QbZDhGwEdpCsb2NI5PsWcySbO8zwhIdo%2FSN%2FVmSUTg%3D
[HTTP/1.1 500 Internal Server Error 24ms]
AES failed.
现在我在python中解码它如下:
encrypted_string = request.GET['encrypted_string']
print("Encrypted string decoded: ",base64.b64decode(encrypted_string)) #Line 2
print("----")
sha256_key = SHA256.new(data=bytes(key))
cipher = AES.new(sha256_key.digest(),AES.MODE_CBC)
print(cipher.decrypt(base64.b64decode(encrypted_string)))
[12/Oct/2019 18:39:41] "GET /Shenzen/dh/?step=calcval&level1=37 HTTP/1.1" 200 16
Encrypted string decoded: b"AMAZON\x02\xcb0\xb5~ \xbf<\x96\x16\x0eJY@\x88\xfe\x94\xc28\xf2j\x19n\x8f\x8d\xdb\xb6yc\x89-L\x93\xa3\x9f\xc3i\xd5\xf4e4'|\xa1\x1f\x9d\xb9k\x95O\xb9<\xc3\xa0\xd7\xa6B^\x85+SSToe"
----
Internal Server Error: /Shenzen/actsignin/
Traceback (most recent call last):
File "/home/tarunmaganti/Documents/AbhiramSlavery/ProjectLogin/hell/lib/python3.6/site-packages/django/core/handlers/exception.py", line 34, in inner
response = get_response(request)
File "/home/tarunmaganti/Documents/AbhiramSlavery/ProjectLogin/hell/lib/python3.6/site-packages/django/core/handlers/base.py", line 115, in _get_response
response = self.process_exception_by_middleware(e, request)
File "/home/tarunmaganti/Documents/AbhiramSlavery/ProjectLogin/hell/lib/python3.6/site-packages/django/core/handlers/base.py", line 113, in _get_response
response = wrapped_callback(request, *callback_args, **callback_kwargs)
File "/home/tarunmaganti/Documents/AbhiramSlavery/ProjectLogin/UrbanHell/Shenzen/views.py", line 67, in actsignin
print(cipher.decrypt(base64.b64decode(encrypted_string)))
File "/home/tarunmaganti/Documents/AbhiramSlavery/ProjectLogin/hell/lib/python3.6/site-packages/Crypto/Cipher/_mode_cbc.py", line 246, in decrypt
raise ValueError("Data must be padded to %d byte boundary in CBC mode" % self.block_size)
ValueError: Data must be padded to 16 byte boundary in CBC mode
[12/Oct/2019 18:39:44] "GET /Shenzen/actsignin/?encrypted_string=QU1BWk9OAsswtX4gvzyWFg5KWUCI%2FpTCOPJqGW6Pjdu2eWOJLUyTo5%2FDadX0ZTQnfKEfnblrlU%2B5PMOg16ZCXoUrU1NUb2U%3D HTTP/1.1" 500 17651put
我希望第 1 行和第 2 行的输出相等,但这就是我得到的:
JavascriptBytes before Base64 encoding: 414d415a4f4e02e8ec9b8a949eb754e305acfbe5207f1ebe75272c18146bca57ce399928c0ffd7e506d90e11b011da42b1bd8d2393ec59cc926cef33c2121da3f48dfd59925138 signin:67:25
PythonEncrypted string decoded: b"AMAZON\x02\xcb0\xb5~ \xbf<\x96\x16\x0eJY@\x88\xfe\x94\xc28\xf2j\x19n\x8f\x8d\xdb\xb6yc\x89-L\x93\xa3\x9f\xc3i\xd5\xf4e4'|\xa1\x1f\x9d\xb9k\x95O\xb9<\xc3\xa0\xd7\xa6B^\x85+SSToe"
你能解释发生了什么吗?如何获得与javascript相同的字符串?或如何将 Python 中的字符串转换为可解密(?)数据。
解决方案
在 JavaScript 代码中,标头(如 hexstring:
414d415a4f4e02)、随机生成的 IV 和密文被连接并进行 Base64 编码。在 Python 代码中,连接的数据是 Base64 解码的。但是,似乎没有执行拆分为标头、IV 和密文。因此,解密时缺少密文和 IV。不是使用密文,而是使用连接的数据进行解密,这是错误的。并且 AES 实例是在没有 IV 的情况下创建的,这也是错误的。在 JavaScript 端, Base64 编码之前的连接数据以十六进制表示形式给出:
414d415a4f4e02e8ec9b8a949eb754e305acfbe5207f1ebe75272c18146bca57ce399928c0ffd7e506d90e11b011da42b1bd8d2393ec59cc926cef33c2121da3f48dfd59925138在 Python 端, Base64 解码后的连接数据以十六进制表示形式给出:
414d415a4f4e02cb30b57e20bf3c96160e4a594088fe94c238f26a196e8f8ddbb67963892d4c93a39fc369d5f46534277ca11f9db96b954fb93cc3a0d7a6425e852b5353546f65数据从 IV 开始明显不同(即从第 8 个字节开始)。JavaScript 代码在每次运行时生成一个随机 IV,因此每次运行的密文也不同。这两个数据很可能来自不同的运行,因为开始是相同的,并且偏差从每次运行中随机生成的部分开始。否则,数据将不得不以这种特有的方式在其他地方更改(可能不是通过发布的代码)。
也可能存在填充问题。CryptoJS默认使用 PKCS7 填充。相比之下,PyCrypto / PyCryptodome默认不使用填充(即用户必须手动填充),因此在解密过程中可能不会自动删除 Python 端的填充。
推荐阅读
- xcode - 我刚刚为 Mac 上的 iOS 开发人员设置了 react native 的工作环境,但是在尝试构建我的第一个基本应用程序时遇到了这个错误
- laravel - Laravel api 路由发布调用按预期工作,获取调用返回空白 html 响应
- react-native - Expo react native如何更改pdf文本
- python - 如何修复 Keras Flatten 图层的错误?
- sql-server - 如何为 Azure SQL 上的弹性查询设置 CONNECTION_OPTIONS = 'ApplicationIntent=ReadOnly'?
- javascript - 对象的成员被忽略
- java - API 调用中的 TLS 加密和散列
- java - 带有堡垒登录服务器的 Linux 服务器上的 Socker 服务器客户端
- r - 当响应和预测变量是连续变量时对决策树的解释
- javascript - 减少按钮 HTML / CSS 内的文本