如何在 Python 中从 JavaScript CryptoJS.AES.encrypt(password, passphrase) 解密密码

问题描述 投票:0回答:1

我有一个通过 JavaScript 加密的密码

  var password = 'sample'
  var passphrase ='sample_passphrase'
  CryptoJS.AES.encrypt(password, passphrase)

然后我尝试解密来自Python中的JavaScript的密码:

  from Crypto.Cipher import AES
  import base64

  PADDING = '\0'

  pad_it = lambda s: s+(16 - len(s)%16)*PADDING
  key = 'sample_passphrase'
  iv='11.0.0.101'        #------> here is my question, how can I get this iv to restore password, what should I put here?
  key=pad_it(key)        #------> should I add padding to keys and iv?
  iv=pad_it(iv)          ##
  source = 'sample'
  generator = AES.new(key, AES.MODE_CFB,iv)
  crypt = generator.encrypt(pad_it(source))
  cryptedStr = base64.b64encode(crypt)
  print cryptedStr
  generator = AES.new(key, AES.MODE_CBC,iv)
  recovery = generator.decrypt(crypt)
  print recovery.rstrip(PADDING)

我从浏览器控制台检查了JS,它显示

CryptoJS.AES.encrypt(password, passphrase)
中的IV是一个具有一些属性的对象(如
sigBytes:16, words: [-44073646, -1300128421, 1939444916, 881316061]
)。它似乎是随机生成的。

从一个网页来看,JS有两种加密密码的方法 (参考链接):

  • a. 
    crypto.createCipher(algorithm, password)
  • b. 
    crypto.createCipheriv(algorithm, key, iv)

我在JavaScript中看到的应该是选项a。然而,只有选项b相当于python中的AES.new()。

问题是

  1. 如何在 Python 中恢复此密码而不更改 JavaScript 代码?

  2. 如果我在Python中需要IV,我如何从JavaScript中使用的密码中获取它?

javascript python aes pycrypto cryptojs
1个回答
45
投票

您必须实现 OpenSSL 的 

EVP_BytesToKey
,因为这是 CryptoJS 用于从提供的密码中派生密钥和 IV 的方法,但 pyCrypto 仅支持 key+IV 类型加密。 CryptoJS 还生成一个随机盐,也必须将其发送到服务器。如果密文对象转换为字符串,则它会自动使用 OpenSSL 兼容格式,其中包括随机盐。

var data = "Some semi-long text for testing";
var password = "some password";
var ctObj = CryptoJS.AES.encrypt(data, password);
var ctStr = ctObj.toString();

out.innerHTML = ctStr;
<script src="https://cdn.rawgit.com/CryptoStore/crypto-js/3.1.2/build/rollups/aes.js"></script>
<div id="out"></div>

可能的输出:

U2FsdGVkX1+ATH716DgsfPGjzmvhr+7+pzYfUzR+25u0D7Z5Lw04IJ+LmvPXJMpz

CryptoJS 对于 AES、PKCS#7 填充和 CBC 模式默认为 256 位密钥大小。 AES 的块大小为 128 位,这也是 IV 大小。这意味着我们必须从 EVP_BytesToKey 请求 32+16 = 48 字节。我在here找到了一个半功能性的实现,并进一步扩展了它。

这里是完整的Python(使用2.7和3.4测试)代码,它与CryptoJS兼容:

from Cryptodome import Random
from Cryptodome.Cipher import AES
import base64
from hashlib import md5

BLOCK_SIZE = 16

def pad(data):
    length = BLOCK_SIZE - (len(data) % BLOCK_SIZE)
    return data + (chr(length)*length).encode()

def unpad(data):
    return data[:-(data[-1] if type(data[-1]) == int else ord(data[-1]))]

def bytes_to_key(data, salt, output=48):
    # extended from https://gist.github.com/gsakkis/4546068
    assert len(salt) == 8, len(salt)
    data += salt
    key = md5(data).digest()
    final_key = key
    while len(final_key) < output:
        key = md5(key + data).digest()
        final_key += key
    return final_key[:output]

def encrypt(message, passphrase):
    salt = Random.new().read(8)
    key_iv = bytes_to_key(passphrase, salt, 32+16)
    key = key_iv[:32]
    iv = key_iv[32:]
    aes = AES.new(key, AES.MODE_CBC, iv)
    return base64.b64encode(b"Salted__" + salt + aes.encrypt(pad(message)))

def decrypt(encrypted, passphrase):
    encrypted = base64.b64decode(encrypted)
    assert encrypted[0:8] == b"Salted__"
    salt = encrypted[8:16]
    key_iv = bytes_to_key(passphrase, salt, 32+16)
    key = key_iv[:32]
    iv = key_iv[32:]
    aes = AES.new(key, AES.MODE_CBC, iv)
    return unpad(aes.decrypt(encrypted[16:]))


password = "some password".encode()
ct_b64 = "U2FsdGVkX1+ATH716DgsfPGjzmvhr+7+pzYfUzR+25u0D7Z5Lw04IJ+LmvPXJMpz"

pt = decrypt(ct_b64, password)
print("pt", pt)

print("pt", decrypt(encrypt(pt, password), password))

类似的代码可以在我对 JavaPHP 的回答中找到。

浏览器中没有 HTTPS 的 JavaScript AES 加密只是简单的混淆,并不能提供任何真正的安全性,因为密钥必须与密文一起传输。

[更新]:

应该使用pycryptodome而不是pycrypto,因为pycrypto(最新的pypi版本是2.6.1)不再维护,并且它存在漏洞CVE-2013-7459CVE-2018-6594(CVE警告由github)。我在这里选择 

pycryptodomex
包(
Cryptodome
替换代码中的 
Crypto
)而不是 
pycryptodome
,以避免名称
Crypto
包中的 
pycrypto
发生冲突。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.