在 openssl_encrypt 中使用初始化向量

Posted 2023-02-25

【中文标题】在 openssl_encrypt 中使用初始化向量

【英文标题】：Use of Initialization Vector in openssl_encrypt

【发布时间】：2012-08-03 00:08:22

【问题描述】：

我查看了this 问题，并想为自己做。当我运行这段代码时（直接取自this answer）：

$textToEncrypt = "My super secret information.";
$encryptionMethod = "AES-256-CBC";  // AES is used by the U.S. gov't to encrypt top secret documents.
$secretHash = "25c6c7ff35b9979b151f2136cd13b0ff";

//To encrypt
$encryptedMessage = openssl_encrypt($textToEncrypt, $encryptionMethod, $secretHash, '1234567812345678');

//To Decrypt
$decryptedMessage = openssl_decrypt($encryptedMessage, $encryptionMethod, $secretHash);

//Result
echo "Encrypted: $encryptedMessage <br>Decrypted: $decryptedMessage";

但是我收到警告

openssl_encrypt(): Using an empty Initialization Vector (iv) is potentially insecure and not recommended

所以我去看了docs，但“没有文档”。我找到了这个comment，但仍然没有提到初始化向量应该是什么以及我应该如何使用它。谁能赐教？

我知道我可以做更多的谷歌搜索，但 *** 在这么多搜索结果中排在第一位，我认为这个问题可能对遇到此问题的其他人有用。

【问题讨论】：

你查过initialization vector是什么意思吗？

是的，但我想知道如何在 php 中最好地实现这一点。

空的 IV 不好。这就是不久前导致整个 Debian/OpenSSH 惨败的原因。

尝试：php.net/manual/en/function.openssl-encrypt.php#99188 查看最后一个参数，$iv。

@JaredFarrish 是的，正如我所说，我已经阅读了文档。它并没有真正揭示我所面临的问题。

【参考方案1】：

IV 通常是保证加密文本唯一的随机数。

为了解释为什么需要它，让我们假设我们有一个用密钥“secret”加密的人名数据库，没有 IV。

1 John dsfa9p8y098hasdf
2 Paul po43pokdfgpo3k4y
3 John dsfa9p8y098hasdf

如果 John 1 知道他的密文 (dsfa9p8y098hasdf) 并且可以访问其他密文，他可以轻松找到其他名为 John 的人。

现在实际上，需要 IV 的加密模式将始终使用 IV。如果您不指定 IV，它会自动设置为一堆空字节。想象一下第一个例子，但它的 IV 是常数 (00000000)。

1 John dsfa9p8y098hasdf 00000000
2 Paul po43pokdfgpo3k4y 00000000
3 John dsfa9p8y098hasdf 00000000

为了防止重复密文，我们可以使用相同的“秘密”密钥和随机 IV 对名称进行加密：

1 John sdf875n90mh28458 45gh3546
2 Paul fg9087n5b60987nf 56897ngq
3 John gjhn0m89456vnler 8907345f

如您所见，两个“John”密文现在不同了。每个 IV 都是独一无二的，并且影响了加密过程，从而使最终结果也独一无二。 John 1 现在不知道用户 3 的名字是什么。

解密当然需要使用与加密文本相同的 IV，这就是为什么它必须存储在数据库中的原因。没有密钥，IV 将毫无用处，因此无需担心与加密文本一起传输或存储它。

这是一个过于简单化的例子，但事实是，不使用 IV 会产生严重的安全后果。

---

现在您的代码似乎正在设置 IV (1234567812345678)，但未在解密时使用它。那肯定会失败。

您可能还想利用一些 PHP 的 IV 生成函数。我认为这应该适合你：

$iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC);
$iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
$encryptedMessage = openssl_encrypt($textToEncrypt, $encryptionMethod, $secretHash, 0, $iv);
$decryptedMessage = openssl_decrypt($encryptedMessage, $encryptionMethod, $secretHash, 0, $iv);

对于存储/传输，您可以像这样简单地连接 IV 和密文：

$data = $iv.$encryptedMessage;

然后在检索时，取出 IV 进行解密：

$iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC);
$iv = substr($data, 0, $iv_size);
$decryptedMessage = openssl_decrypt(substr($data, $iv_size), $encryptionMethod, $secretHash, 0, $iv);

---

有关更多信息，请查看 PHP 的 Mcrypt 库。它功能齐全，有大量示例，其中许多可以帮助您实现 openssh 加密。 http://php.net/manual/en/function.mcrypt-encrypt.php

【讨论】：

很棒的解释。我相信您缺少 openssl_encrypt/decrypt 的第四个参数。 IV是第五个

如果您要通过 html 表单发送加密数据，请务必使用 base64_encode/base64_decode 预订 PHP 代码并设置表单 enctype="multipart/form-data" 以便您由于 IV 是二进制的，因此没有编码问题。

@kovshenin 好吧，实际上没有。 IV 在技术上与其说是随机的不如说是独一无二的。随机（尤其是伪随机）函数能够生成相同的字符串，而加密能够生成具有不同密钥和/或不同数据的相同密文。你的情况可能没问题，但如果你真的需要保证它们是唯一的，设置一个 IV（正确！）几乎是你能得到的。

必须是MCRYPT_RIJNDAEL_128

mcrypt 已弃用