前言
一直困擾着我關於數據加密這一塊,24號晚上用了接近3個小時去完成一項任務,本以為立馬能解決,但是為了保證數據的安全性,我們開始去對數據進行加密,然后接下來3個小時專門去研究加密這一塊,然而用着用着卻發現了一點問題,於是下班回來到寫這篇博客到深夜才正式解決,請往下看。
3DES數據加密
由於數據需要獲取出來並顯示於是只能使用對稱加密,關於加密這一塊網上對於.NET Framework的實現數不勝數,好像對於.NET Core這一塊比較少,於是就開始進行研究。這個時候就利用DES或者Triple DES也稱作3DES,全名為Triple Data Encryption Algorithm (TDEA or Triple DEA),也就是對稱密碼塊密碼,3DES對數據的每個數據塊利用算法進行3次加密,最初開始設計該算法時,位數只有56位也就是7個字節,設計者認為已經足夠用,但是隨着計算機的高速發展,暴露破解已經使得該算法呈現的問題日益突出,而3DES算法的出現提供了一種比較簡單的方法來增加密鑰的大小從而防止攻擊,而不是重新設計一套全新的分組密碼算法。
3DES加密算法命名
定義算法最早期的標准被放在ANS X9.52中並在1998年發布並將其描述為三重數據加密算法(簡稱TDEA),在ANSI X3.92中定義了該算法的三個操作但是並沒有使用DES或者3DES,直到1999年發布的FIPS PUB 46-3在正式命名三重數據加密算法,大概在2004到2005的樣子才正式引入三重數據加密算法,之前一直以TDEA存在着,也就是說TDEA就是3DES,但是沒有使用3DES作為標准術語。
3DES算法邏輯
三重數據加密算法使用包括密鑰K1,密鑰K2和密鑰約束K3,每一個包含56位不包含奇偶校驗,算法實現公式如下:
ciphertext = EK3(DK2(EK1(plaintext)))
即
密文 = EK3(DK2(EK1(平文)))
用K1對數據進行加密,用K2對數據進行解密,用K3對數據再加密。
解密公式為如下:
plaintext = DK1(EK2(DK3(ciphertext)))
即
平文 = DK1(EK2(DK3(密文)))
用K3j對數據進行解密,用K2對數據進行加密,用K1對數據進行加密。每次加密都處理64位數據並形成一塊。
3DES加密選項
定義了三種密鑰選項。
(1)三個密鑰相互獨立。
(2)K1和K2密鑰獨立,但K1 = K3。
(3)三個密鑰相等。
密鑰選項1的強度最高,擁有3 x 56 = 168個獨立的密鑰位。
密鑰選項2的安全性稍低,擁有2 x 56 = 112個獨立的密鑰位。該選項比簡單的應用DES兩次的強度較高,即使用K1和K2,因為它可以防御中途相遇攻擊。
密鑰選項3等同與DES,只有56個密鑰位。這個選項提供了與DES的兼容性,因為第1和第2次DES操作相互抵消了。該選項不再為國家標准科技協會(NIST)所推薦,亦不為ISO/IEC 18033-3所支持。
利用3DES在.NET Framework中實現加密和解密
我們看下在.NET Framework中對於3DES的具體實現,如下:
public static string DesEncrypt(string input, string key) { byte[] inputArray = Encoding.UTF8.GetBytes(input); TripleDESCryptoServiceProvider tripleDES = new TripleDESCryptoServiceProvider(); tripleDES.Key = Encoding.UTF8.GetBytes(key); tripleDES.Mode = CipherMode.ECB; tripleDES.Padding = PaddingMode.PKCS7; ICryptoTransform cTransform = tripleDES.CreateEncryptor(); byte[] resultArray = cTransform.TransformFinalBlock(inputArray, 0, inputArray.Length); tripleDES.Clear(); return Convert.ToBase64String(resultArray, 0, resultArray.Length); }
public static string DesDecrypt(string input, string key) { byte[] inputArray = Convert.FromBase64String(input); TripleDESCryptoServiceProvider tripleDES = new TripleDESCryptoServiceProvider(); tripleDES.Key = Encoding.UTF8.GetBytes(key); tripleDES.Mode = CipherMode.ECB; tripleDES.Padding = PaddingMode.PKCS7; ICryptoTransform cTransform = tripleDES.CreateDecryptor(); byte[] resultArray = cTransform.TransformFinalBlock(inputArray, 0, inputArray.Length); tripleDES.Clear(); return Encoding.UTF8.GetString(resultArray); }
我們給出一個16位的加密密鑰,然后對相應數據進行加密和解密
var name = "Jeffcky"; var encryptStr = DesEncrypt(name, "sblw-3hn8-sqoy19"); Console.WriteLine(name); var decryptStr = DesDecrypt(encryptStr, "sblw-3hn8-sqoy19"); Console.WriteLine(decryptStr);
我們定義密鑰為16個字節,即此時應該是有兩個密鑰,但是此時密鑰卻不同,所以猜測內部實現的3DES密碼選項中的第二項,因為密鑰3和密鑰1相等,既然沒出錯,內部應該會去拿密鑰1中的位數作為密鑰3的位數。接下里我們再來看在.NET Core中的情況。
利用3DES在.NET Core實現加密和解密
由於在.NET Core中不存在 TripleDESCryptoServiceProvider 取而代之的是 TripleDES ,所以此時我們的代碼需要稍作修改,如下:
public static string DesEncrypt(string input, string key) { byte[] inputArray = Encoding.UTF8.GetBytes(input); var tripleDES = TripleDES.Create(); var byteKey = Encoding.UTF8.GetBytes(key); tripleDES.Key = byteKey; tripleDES.Mode = CipherMode.ECB; tripleDES.Padding = PaddingMode.PKCS7; ICryptoTransform cTransform = tripleDES.CreateEncryptor(); byte[] resultArray = cTransform.TransformFinalBlock(inputArray, 0, inputArray.Length); return Convert.ToBase64String(resultArray, 0, resultArray.Length); } public static string DesDecrypt(string input, string key) { byte[] inputArray = Convert.FromBase64String(input); var tripleDES = TripleDES.Create(); var byteKey = Encoding.UTF8.GetBytes(key); tripleDES.Key = byteKey; tripleDES.Mode = CipherMode.ECB; tripleDES.Padding = PaddingMode.PKCS7; ICryptoTransform cTransform = tripleDES.CreateDecryptor(); byte[] resultArray = cTransform.TransformFinalBlock(inputArray, 0, inputArray.Length); return Encoding.UTF8.GetString(resultArray); }
接着進行調用:
var name = "Jeffcky"; var encryptStr = DesEncrypt(name, "sblw-3hn8-sqoy19"); Console.WriteLine(name); var decryptStr = DesDecrypt(encryptStr, "sblw-3hn8-sqoy19"); Console.WriteLine(decryptStr);
結果出錯了詳細信息如下:
System.Security.Cryptography.CryptographicException:“Specified key is not a valid size for this algorithm.”
由上說明我們給出密鑰的大小對於3DES對稱加密算法時無效的,為何呢,在.NET Framework是好使的呀,當我們調試時將鼠標放在3DES中密鑰時你會發現它實際需要的字節為24個字節,而我們只提供了16個字節,如下:
所以到這里我們應該知道問題出在什么地方了,根據我們對3DES的介紹內部實現的選項應該是密鑰選項2,將密鑰1和密鑰2獨立開來,而密鑰3和密鑰相同,在.NET Framework中我們只要兩個密鑰即可,因為第三個密鑰和第一個相同,既然沒出錯肯定是內部重用了密鑰1,但是在.NET Core需要我們給出24個字節,說明即使密鑰1和密鑰3相同也要我們提供密鑰的字節,所以我們只要將密鑰1中的八個字節拷貝到密鑰3中,這樣就有了24個字節,實現如下:
public static string DesEncrypt(string input, string key) { byte[] inputArray = Encoding.UTF8.GetBytes(input); var tripleDES = TripleDES.Create(); var byteKey = Encoding.UTF8.GetBytes(key); byte[] allKey = new byte[24]; Buffer.BlockCopy(byteKey, 0, allKey, 0, 16); Buffer.BlockCopy(byteKey, 0, allKey, 16, 8); tripleDES.Key = allKey; tripleDES.Mode = CipherMode.ECB; tripleDES.Padding = PaddingMode.PKCS7; ICryptoTransform cTransform = tripleDES.CreateEncryptor(); byte[] resultArray = cTransform.TransformFinalBlock(inputArray, 0, inputArray.Length); return Convert.ToBase64String(resultArray, 0, resultArray.Length); } public static string DesDecrypt(string input, string key) { byte[] inputArray = Convert.FromBase64String(input); var tripleDES = TripleDES.Create(); var byteKey = Encoding.UTF8.GetBytes(key); byte[] allKey = new byte[24]; Buffer.BlockCopy(byteKey, 0, allKey, 0, 16); Buffer.BlockCopy(byteKey, 0, allKey, 16, 8); tripleDES.Key = allKey; tripleDES.Mode = CipherMode.ECB; tripleDES.Padding = PaddingMode.PKCS7; ICryptoTransform cTransform = tripleDES.CreateDecryptor(); byte[] resultArray = cTransform.TransformFinalBlock(inputArray, 0, inputArray.Length); return Encoding.UTF8.GetString(resultArray); }
此時我們再來看下打印結果:
var name = "Jeffcky"; Console.WriteLine($"加密字符串為{name}"); var encryptStr = DesEncrypt(name, "sblw-3hn8-sqoy19"); Console.WriteLine($"加密后結果為:{encryptStr}"); var decryptStr = DesDecrypt(encryptStr, "sblw-3hn8-sqoy19"); Console.WriteLine($"解密后字符串為{decryptStr}");
總結
當時遇到這個問題我就處在崩潰的邊緣,結果去查找了資料發現有人遇到過問題,然后就去了解下3DES基本原理就解決了問題。
記住:在.NET Core中利用3DES加密和解密必須要給出3個密鑰即24個字節即使密鑰3和密鑰1相等,它不會像.NET Framework中會重用密鑰1中的位數。
參考資料:http://stackoverflow.com/questions/39013264/tripledes-16-byte-not-working