如何从 AES 加密字符串中添加/删除 PKCS7 填充？

Posted 2023-03-14

【中文标题】如何从 AES 加密字符串中添加/删除 PKCS7 填充？

【英文标题】：How to add/remove PKCS7 padding from an AES encrypted string?

【发布时间】：2011-11-11 00:13:23

【问题描述】：

我正在尝试使用 128 位 AES 加密 (ECB) 加密/解密字符串。我想知道的是如何添加/删除 PKCS7 填充。似乎 Mcrypt 扩展可以处理加密/解密，但填充必须手动添加/删除。

有什么想法吗？

【问题讨论】：

请注意：如果可以更改，请使用another mode than ECB (it is insecure)。

@Paul 不，不能改变，它取决于客户的系统。您有机会指导我使用填充物吗？

不要使用 ECB 模式。如果您的客户认为他们需要欧洲央行，那他们就错了。使用 CTR 或 CBC，确保您对密文进行身份验证。

这个答案涵盖了如何向已经加密的数据添加填充：***.com/questions/24404770/…

【参考方案1】：

让我们看看。 PKCS #7 在 RFC 5652（加密消息语法）中进行了描述。

填充方案本身在6.3. Content-encryption Process 部分中给出。它本质上是说：根据需要附加那么多字节来填充给定的块大小（但至少一个），并且每个字节都应该有填充长度作为值。

因此，查看最后一个解密的字节，我们就知道要删除多少字节。 （也可以检查它们是否都具有相同的值。）

我现在可以为您提供一对 php 函数来执行此操作，但我的 PHP 有点生疏。所以要么自己做这个（然后随时编辑我的答案以将其添加），或者查看 mcrypt 文档的user-contributed notes - 其中相当一部分是关于填充并提供 PKCS #7 填充的实现。

---

那么，让我们详细看看first note there：

<?php

function encrypt($str, $key)
 
     $block = mcrypt_get_block_size('des', 'ecb');

这将获取所使用算法的块大小。在你的情况下，你会使用aes 或rijndael_128 而不是des，我想（我没有测试它）。 （相反，您可以简单地将16 用于 AES，而不是调用该函数。）

     $pad = $block - (strlen($str) % $block);

这会计算填充大小。 strlen($str) 是数据的长度（以字节为单位），% $block 给出余数模 $block，即最后一个块中的数据字节数。 $block - ... 因此给出了填充最后一个块所需的字节数（现在这是一个介于 1 和 $block 之间的数字，包括在内）。

     $str .= str_repeat(chr($pad), $pad);

str_repeat 生成一个由相同字符串的重复组成的字符串，这里重复了character given by $pad、$pad 次，即长度为$pad 的字符串，用$pad 填充。 $str .= ... 将此填充字符串附加到原始数据中。

     return mcrypt_encrypt(MCRYPT_DES, $key, $str, MCRYPT_MODE_ECB);

这是加密本身。使用MCRYPT_RIJNDAEL_128 而不是MCRYPT_DES。

现在换个方向：

 function decrypt($str, $key)
    
     $str = mcrypt_decrypt(MCRYPT_DES, $key, $str, MCRYPT_MODE_ECB);

解密。 （你当然会改变算法，如上所述）。 $str 现在是解密后的字符串，包括填充。

     $block = mcrypt_get_block_size('des', 'ecb');

这又是块大小。 （见上文。）

     $pad = ord($str[($len = strlen($str)) - 1]);

这看起来有点奇怪。最好分多步写：

    $len = strlen($str);
    $pad = ord($str[$len-1]);

$len 现在是填充字符串的长度，$str[$len - 1] 是该字符串的最后一个字符。 ord 将其转换为数字。因此$pad 是我们之前用作填充填充值的数字，这就是填充长度。

     return substr($str, 0, strlen($str) - $pad);

所以现在我们从字符串中截断最后一个$pad 字节。 （除了strlen($str)，我们也可以在这里写$len：substr($str, 0, $len - $pad)。）。

 

?>

请注意，除了使用substr($str, $len - $pad)，还可以编写substr($str, -$pad)，因为PHP 中的substr 函数对负操作数/参数有特殊处理，从字符串末尾开始计数。 （我不知道这是否比先获取长度并手动计算索引更有效。）

如前所述并在 rossum 的评论中指出，您应该检查它是否正确 - 即查看 substr($str, $len - $pad)，并检查其所有字节是否为 chr($pad)，而不是像此处所做的那样简单地剥离填充.这可以作为对损坏的轻微检查（尽管如果您使用链接模式而不是 ECB，此检查会更有效，并且不能替代真正的 MAC）。

---

（不过，告诉您的客户，他们应该考虑改用比 ECB 更安全的模式。）

【讨论】：

如果您可以提供一些示例代码以用伪代码或 java 执行此操作，那就太好了。我仍然不太明白如何做到这一点，即给定的块大小是多少，最后解码的字节是多少，等等

删除填充时，您不应该只删除它。您应该检查它是否正确。如果继续，如果不正确，则删除解密的文本并抛出填充错误。

警告：如果攻击者可以在线测试不正确的填充，那么攻击者可以创建可以完全破坏机密性的填充预言攻击。在 IV 和密文上使用 MAC 或 HMAC 来避免这种情况。

在您的解密函数中，您正在计算 $block 但未在函数中使用它。为什么？

@omarjebari 老实说，我不知道。我将代码从用户提供的 cmets 复制到 PHP 文档的链接页面，然后将我的 cmets 添加到其中。 （链接的评论要么从此消失，要么页面上的 ID 已更改。）

【参考方案2】：

我创建了两种方法来执行填充和取消填充。这些函数使用phpdoc 记录，并且需要 PHP 5。您会注意到 unpad 函数包含大量异常处理，为每个可能的错误生成不少于 4 条不同的消息。

要获得 PHP mcrypt 的块大小，您可以使用 mcrypt_get_block_size，它还将块大小定义为以字节而不是位为单位。

/**
 * Right-pads the data string with 1 to n bytes according to PKCS#7,
 * where n is the block size.
 * The size of the result is x times n, where x is at least 1.
 * 
 * The version of PKCS#7 padding used is the one defined in RFC 5652 chapter 6.3.
 * This padding is identical to PKCS#5 padding for 8 byte block ciphers such as DES.
 *
 * @param string $plaintext the plaintext encoded as a string containing bytes
 * @param integer $blocksize the block size of the cipher in bytes
 * @return string the padded plaintext
 */
function pkcs7pad($plaintext, $blocksize)

    $padsize = $blocksize - (strlen($plaintext) % $blocksize);
    return $plaintext . str_repeat(chr($padsize), $padsize);


/**
 * Validates and unpads the padded plaintext according to PKCS#7.
 * The resulting plaintext will be 1 to n bytes smaller depending on the amount of padding,
 * where n is the block size.
 *
 * The user is required to make sure that plaintext and padding oracles do not apply,
 * for instance by providing integrity and authenticity to the IV and ciphertext using a HMAC.
 *
 * Note that errors during uppadding may occur if the integrity of the ciphertext
 * is not validated or if the key is incorrect. A wrong key, IV or ciphertext may all
 * lead to errors within this method.
 *
 * The version of PKCS#7 padding used is the one defined in RFC 5652 chapter 6.3.
 * This padding is identical to PKCS#5 padding for 8 byte block ciphers such as DES.
 *
 * @param string padded the padded plaintext encoded as a string containing bytes
 * @param integer $blocksize the block size of the cipher in bytes
 * @return string the unpadded plaintext
 * @throws Exception if the unpadding failed
 */
function pkcs7unpad($padded, $blocksize)

    $l = strlen($padded);

    if ($l % $blocksize != 0) 
    
        throw new Exception("Padded plaintext cannot be divided by the block size");
    

    $padsize = ord($padded[$l - 1]);

    if ($padsize === 0)
    
        throw new Exception("Zero padding found instead of PKCS#7 padding");
        

    if ($padsize > $blocksize)
    
        throw new Exception("Incorrect amount of PKCS#7 padding for blocksize");
    

    // check the correctness of the padding bytes by counting the occurance
    $padding = substr($padded, -1 * $padsize);
    if (substr_count($padding, chr($padsize)) != $padsize)
    
        throw new Exception("Invalid PKCS#7 padding encountered");
    

    return substr($padded, 0, $l - $padsize);

这不会以任何方式使 Paŭlo Ebermann 的答案无效，它与代码和 phpdoc 中的答案基本相同，而不是描述。

---

请注意，向攻击者返回填充错误可能会导致 填充预言攻击，从而完全破坏 CBC（当使用 CBC 而不是 ECB 或经过安全验证的密码时）。

【参考方案3】：

解密数据后调用如下函数

function removePadding($decryptedText)
    $strPad = ord($decryptedText[strlen($decryptedText)-1]);
    $decryptedText= substr($decryptedText, 0, -$strPad);
    return $decryptedText;

【讨论】：

答案代码不适用于 PHP mcrypt 默认使用的空填充。对于 PKCS#7/PKCS#5 填充，需要检查填充是否有效。考虑使用错误的键，$strPad 很可能是错误的，可能是一个大于数据长度的值。但是不要返回一个糟糕的填充错误，这往往会创建一个填充预言，而是什么都不做。大多数库都支持 PKCS#7 填充，并且会在加密时自动添加填充并在解密时删除填充——无需执行更多操作。