OpenSSL 上的 EVP_DecryptFinal_ex 错误

Posted 2023-02-25

【中文标题】OpenSSL 上的 EVP_DecryptFinal_ex 错误

【英文标题】：EVP_DecryptFinal_ex Error on OpenSSL

【发布时间】：2011-08-05 15:51:08

【问题描述】：

我正在使用 OpenSSL EVP 例程使用 AES 128 cbc 模式进行解密。

我使用 NIST 站点指定的测试向量来测试我的程序。

程序似乎在 EVP_DecryptFinal_ex 例程中失败。

谁能告诉我是什么问题？

此外，我如何在此处进行错误检查以找出此例程失败的原因？

更新：

请检查下面的代码。我添加了加密和解密部分。加密工作。但是在解密过程中，虽然两者的结果都匹配，但密码的十六进制值似乎是 80 字节，而不是预期的 64 字节（在 NIST 中提到），尽管解密有效并且解密的文本与明文匹配！ 有人可以澄清一下吗？

预期的密文值应该是：

cipher: 0000 76 49 ab ac 81 19 b2 46 ce e9 8e 9b 12 e9 19 7d 
    0010 50 86 cb 9b 50 72 19 ee 95 db 11 3a 91 76 78 b2 
    0020 73 be d6 b8 e3 c1 74 3b 71 16 e6 9e 22 22 95 16 
    0030 3f f1 ca a1 68 1f ac 09 12 0e ca 30 75 86 e1 a7

代码如下：

#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#include <openssl/evp.h>

int AES_BLOCK_SIZE;

int main(int argc, char **argv)


    EVP_CIPHER_CTX en;
    EVP_CIPHER_CTX de;
    EVP_CIPHER_CTX_init(&en);
    EVP_CIPHER_CTX_init(&de);
    const EVP_CIPHER *cipher_type;
    unsigned char *mode;
    unsigned char *passkey, *passiv, *plaintxt;
    int vector_len = 0;
    char *plain;
    char *plaintext;
    unsigned char *ciphertext;
    int olen, len;
    int i =0;

    //NIST VALUES TO CHECK

    unsigned char iv[]  =
       0x00, 0x01, 0x02, 0x03,
        0x04, 0x05, 0x06, 0x07,
        0x08, 0x09, 0x0a, 0x0b,
        0x0c, 0x0d, 0x0e, 0x0f,  0 ;

    unsigned char key[] =
       0x2b, 0x7e, 0x15, 0x16,
        0x28, 0xae, 0xd2, 0xa6,
        0xab, 0xf7, 0x15, 0x88,
        0x09, 0xcf, 0x4f, 0x3c , 0 ;

    unsigned char input[] =
       0x6b, 0xc1, 0xbe, 0xe2,
        0x2e, 0x40, 0x9f, 0x96,
        0xe9, 0x3d, 0x7e, 0x11,
        0x73, 0x93, 0x17, 0x2a,

        0xae, 0x2d, 0x8a, 0x57,
        0x1e, 0x03, 0xac, 0x9c,
        0x9e, 0xb7, 0x6f, 0xac,
        0x45, 0xaf, 0x8e, 0x51,

        0x30, 0xc8, 0x1c, 0x46,
        0xa3, 0x5c, 0xe4, 0x11,
        0xe5, 0xfb, 0xc1, 0x19,
        0x1a, 0x0a, 0x52, 0xef,

        0xf6, 0x9f, 0x24, 0x45,
        0xdf, 0x4f, 0x9b, 0x17,
        0xad, 0x2b, 0x41, 0x7b,
        0xe6, 0x6c, 0x37, 0x10, 0 ;

    printf("AES ALGORITHM FOR 128 bit CBC MODE\n");
    cipher_type = EVP_aes_128_cbc();
    AES_BLOCK_SIZE = 128;
    passkey = key;
    passiv = iv;
    plain = input;

    printf("iv=");
    for(i = 0; i < sizeof iv; i++)
        printf("%02x", iv[i]);
    
    printf("\n");
    printf("key=");
    for(i = 0; i < sizeof key; i++)
        printf("%02x", key[i]);
    
    printf("\n");

    printf("Initializing AES ALGORITHM FOR CBC MODE..\n");

    EVP_EncryptInit_ex(&en, cipher_type, NULL, passkey, passiv);

    EVP_DecryptInit_ex(&de, cipher_type, NULL, passkey, passiv);

    olen = len = strlen(input)+1;
    printf("len value before aes_encrypt \"%d\"\n", len);

    int c_len = len + AES_BLOCK_SIZE - 1;
    int f_len = 0;
    ciphertext = (unsigned char *)malloc(c_len);

    if(!EVP_EncryptInit_ex(&en, NULL, NULL, NULL, NULL))
        printf("ERROR in EVP_EncryptInit_ex \n");
        return NULL;
    

    if(!EVP_EncryptUpdate(&en, ciphertext, &c_len, plain, len))
        printf("ERROR in EVP_EncryptUpdate \n");
        return NULL;
    
    printf("strlen value of ciphertext after update \"%d\"\n", strlen(ciphertext));
    if(!EVP_EncryptFinal_ex(&en, ciphertext+c_len, &f_len))
        printf("ERROR in EVP_EncryptFinal_ex \n");
        return NULL;
    
    printf("strlen value of ciphertext after final \"%d\"\n", strlen(ciphertext));
    EVP_CIPHER_CTX_cleanup(&en);

    len = c_len + f_len;
    printf("len value after aes_encrypt \"%d\"\n", len);

    len = strlen(ciphertext);

    printf("strlen value of ciphertext after aes_encrypt \"%d\"\n", len);

    int p_len = len;
    f_len = 0;
    plaintext = (unsigned char *)malloc(p_len);
    //memset(plaintext,0,sizeof(plaintext));
    if(!EVP_DecryptInit_ex(&de, NULL, NULL, NULL, NULL))
        printf("ERROR in EVP_DecryptInit_ex \n");
        return NULL;
    
    EVP_CIPHER_CTX_set_padding(&de, 0);

    if(!EVP_DecryptUpdate(&de, plaintext, &p_len, ciphertext, len))
        printf("ERROR in EVP_DecryptUpdate\n");
        return NULL;
    

    if(!EVP_DecryptFinal_ex(&de, plaintext+p_len, &f_len))
        printf("ERROR in EVP_DecryptFinal_ex\n");
        return NULL;
    
    EVP_CIPHER_CTX_cleanup(&de);
    len = p_len + f_len;
    printf("Decrypted value = %s\n", plaintext);

    printf("len value after aes_decrypt \"%d\"\n", len);


    if (strncmp(plaintext, input, olen))
        printf("FAIL: enc/dec failed for \"%s\"\n", input);
    else
        printf("OK: enc/dec ok for \"%s\"\n", plaintext); // \"%s\"\n

    printf("OK: ciphertext is \"%s\"\n", ciphertext); // \"%s\"\n
    printf("\n");

    unsigned char *s3 = ciphertext;
    printf("s3 =\n");
    int nc = 0;
    while(*s3 != '\0')
        printf("%02x", *s3);
        s3++;
        nc ++;
        if(nc == 16)
            printf("\n");
            nc = 0;
        

    
    printf("\n");
    //printf("nc = %d\n", nc);
    free(ciphertext);
    free(plaintext);

    return 0;

【参考方案1】：

就像你在加密和解密时需要匹配密钥和IV一样，你也需要匹配填充设置。 NIST 测试没有填充。以下是 OpenSSL documentation 的摘录：

EVP_DecryptInit_ex(), EVP_DecryptUpdate() 和 EVP_DecryptFinal_ex() 是 相应的解密操作。 EVP_DecryptFinal() 将返回一个 如果启用了填充，则出现错误代码，并且 最后一个块不正确 格式化。参数和 限制与 加密操作，除非如果 启用填充解密数据 缓冲区输出传递给 EVP_DecryptUpdate() 应该有 足够的空间（inl + cipher_block_size) 字节，除非 在这种情况下，密码块大小为 1 inl 字节就足够了。

在同一页面搜索“填充”，您将看到函数EVP_CIPHER_CTX_set_padding：

EVP_CIPHER_CTX_set_padding() 启用 或禁用填充。默认 加密操作使用填充 标准块填充和填充 被检查并删除时 解密。如果 pad 参数是 零，则不执行填充，则 加密的数据总量或 解密后必须是的倍数 块大小或将发生错误。

因此，在您致电EVP_CIPHER_CTX_init 之后和开始解密之前的某个时间点，您需要执行以下操作：

EVP_CIPHER_CTX_set_padding(&de, 0);

【讨论】：

如果我不设置填充，stderr 会引导我到该行：EVPerr(EVP_F_EVP_DECRYPTFINAL_EX,EVP_R_WRONG_FINAL_BLOCK_LENGTH);如果我将填充设置为上述（为零），我得到的错误是：EVPerr(EVP_F_EVP_DECRYPTFINAL_EX,EVP_R_DATA_NOT_MULTIPLE_OF );但是如何纠正呢？在解密例程中我没有提到块长度还是应该？

但是根据您的解释，没有设置填充，因此我根本不需要设置填充功能，而且解密应该可以正常工作吗？我已经编辑了代码。你现在可以检查一下吗？？

@pimmling: E​​VP_R_WRONG_FINAL_BLOCK_LENGTH 表示它正在寻找填充但没有找到它，所以你修复了它。现在您看到的是 AES 数据必须是 16 字节长。您没有使用以空字符结尾的字符串。您正在处理二进制数据。在一切结束时去掉空终止符。不要使用 strlen() ，因为它不是以 null 结尾的字符串。在您的情况下使用 sizeof() 。一次只给解密器 16 个字节，它就会工作，你必须弄清楚如何将更大的数据块分成 16 个字节的块。

我使用了 sizeof 并在必要时删除了 strlen。但是，从其他帖子中我了解到，用于 Decryot 更新的 EVP 接口会将数据划分为合适的块..您能解释一下吗？

@pimmling：是的，你是对的，EVP_DecryptUpdate 会为你做这一切，如果你有内存中的所有数据，你不必自己划分。

【参考方案2】：

我在 EVP_DecryptFinal_ex 例程中遇到了同样的问题。我发现strlen(ciphertext) 不会得到密文的长度，因为函数strlen() 返回的是 C 字符串的长度。

加密后的密文可以包含 '\0' 字符，这些字符被认为是 C 字符串的结尾，因此使用函数 strlen() 将无法获得正确长度的密文。

相反，您应该记住加密后的密文长度。在您的程序中，您可以使用c_len 和f_len：

  if(!EVP_EncryptUpdate(&en, ciphertext, &c_len, plain, len))
    printf("ERROR in EVP_EncryptUpdate \n");
    return NULL;
  //Here you get length of ciphertext in c_len

  printf("strlen value of ciphertext after update \"%d\"\n", strlen(ciphertext));
  if(!EVP_EncryptFinal_ex(&en, ciphertext+c_len, &f_len))
    printf("ERROR in EVP_EncryptFinal_ex \n");
    return NULL;
  //Here you get the rest of padded ciphertext in f_len
  //This printf won't print out the real lengt of ciphertext you should put in (c_len+f_len)
  printf("strlen value of ciphertext after final \"%d\"\n", strlen(ciphertext));
  EVP_CIPHER_CTX_cleanup(&en);

  len = c_len + f_len;//This is the real length of ciphertext
  printf("len value after aes_encrypt \"%d\"\n", len);

  len = strlen(ciphertext);//And here you rewrite it, delete this line and you should get it right

另一件事，当你打印出密文时不要使用：

printf("OK: ciphertext is \"%s\"\n", ciphertext);

“%s”也被认为是C字符串，可以打印出整个密文的一部分。改为使用：

int i = 0;
printf("\nCiphertext:");
for(i = 0; i < len; i++)//variable len is length of ciphertext memorized after encryption.
printf("%c",ciphertext[i]); 

【讨论】：

为了打印出密文，我建议使用这种方法：BIO_dump_fp(stdout, ciphertext, length); 这就像十六进制编辑器一样格式化输出。

【参考方案3】：

要在 OpenSSL 函数失败后显示错误，您可以使用：

ERR_print_errors_fp(stderr);