OpenSSLはNISTに従っていないAESを実装しましたか?
https://wiki.openssl.org/index.php/EVP_Symmetric_Encryption_and_Decryption の暗号化/復号化コードを使用しています。
AESのNISTテストベクトル( http://csrc.nist.gov/groups/STM/cavp/ )では、期待した結果が得られません。 NISTのテストベクトルに従って、その理由と、それをどのように機能させるかを教えてください。
読みやすくするために、以下のコードを追加します。
#include <openssl/evp.h>
#include <openssl/err.h>
#include <string.h>
int main(int arc, char *argv[])
{
/* Set up the key and iv. Do I need to say to not hard code these in a
* real application? :-)
*/
/* A 256 bit key */
unsigned char ***key** = "0000000000000000000000000000000000000000000000000000000000000000";
/* A 128 bit IV */
unsigned char ***iv** = "00000000000000000000000000000000";
/* Message to be encrypted */
unsigned char *plaintext =
"80000000000000000000000000000000";
/* Buffer for ciphertext. Ensure the buffer is long enough for the
* ciphertext which may be longer than the plaintext, dependant on the
* algorithm and mode
*/
unsigned char ciphertext[128];
/* Buffer for the decrypted text */
unsigned char decryptedtext[128];
int decryptedtext_len, ciphertext_len;
/* Initialise the library */
ERR_load_crypto_strings();
OpenSSL_add_all_algorithms();
OPENSSL_config(NULL);
/* Encrypt the plaintext */
ciphertext_len = encrypt(plaintext, strlen(plaintext), key, iv,
ciphertext);
/* Do something useful with the ciphertext here */
printf("Ciphertext is:\n");
BIO_dump_fp(stdout, ciphertext, ciphertext_len);
/* Decrypt the ciphertext */
decryptedtext_len = decrypt(ciphertext, ciphertext_len, key, iv,
decryptedtext);
/* Add a NULL terminator. We are expecting printable text */
decryptedtext[decryptedtext_len] = '\0';
/* Show the decrypted text */
printf("Decrypted text is:\n");
printf("%s\n", decryptedtext);
/* Clean up */
EVP_cleanup();
ERR_free_strings();
return 0;
}
void handleErrors(void)
{
ERR_print_errors_fp(stderr);
abort();
}
int encrypt(unsigned char *plaintext, int plaintext_len, unsigned char *key,
unsigned char *iv, unsigned char *ciphertext)
{
EVP_CIPHER_CTX *ctx;
int len;
int ciphertext_len;
/* Create and initialise the context */
if(!(ctx = EVP_CIPHER_CTX_new())) handleErrors();
/* Initialise the encryption operation. IMPORTANT - ensure you use a key
* and IV size appropriate for your cipher
* In this example we are using 256 bit AES (i.e. a 256 bit key). The
* IV size for *most* modes is the same as the block size. For AES this
* is 128 bits */
if(1 != EVP_EncryptInit_ex(ctx, EVP_aes_256_cbc(), NULL, key, iv))
handleErrors();
/* Provide the message to be encrypted, and obtain the encrypted output.
* EVP_EncryptUpdate can be called multiple times if necessary
*/
if(1 != EVP_EncryptUpdate(ctx, ciphertext, &len, plaintext, plaintext_len))
handleErrors();
ciphertext_len = len;
/* Finalise the encryption. Further ciphertext bytes may be written at
* this stage.
*/
if(1 != EVP_EncryptFinal_ex(ctx, ciphertext + len, &len)) handleErrors();
ciphertext_len += len;
/* Clean up */
EVP_CIPHER_CTX_free(ctx);
return ciphertext_len;
}
int decrypt(unsigned char *ciphertext, int ciphertext_len, unsigned char *key,
unsigned char *iv, unsigned char *plaintext)
{
EVP_CIPHER_CTX *ctx;
int len;
int plaintext_len;
/* Create and initialise the context */
if(!(ctx = EVP_CIPHER_CTX_new())) handleErrors();
/* Initialise the decryption operation. IMPORTANT - ensure you use a key
* and IV size appropriate for your cipher
* In this example we are using 256 bit AES (i.e. a 256 bit key). The
* IV size for *most* modes is the same as the block size. For AES this
* is 128 bits */
if(1 != EVP_DecryptInit_ex(ctx, EVP_aes_256_cbc(), NULL, key, iv))
handleErrors();
/* Provide the message to be decrypted, and obtain the plaintext output.
* EVP_DecryptUpdate can be called multiple times if necessary
*/
if(1 != EVP_DecryptUpdate(ctx, plaintext, &len, ciphertext, ciphertext_len))
handleErrors();
plaintext_len = len;
/* Finalise the decryption. Further plaintext bytes may be written at
* this stage.
*/
if(1 != EVP_DecryptFinal_ex(ctx, plaintext + len, &len)) handleErrors();
plaintext_len += len;
/* Clean up */
EVP_CIPHER_CTX_free(ctx);
return plaintext_len;
}
私が得る出力は:
暗号文は:
0000-0d d2 52 e5 3c 69 ad 57-f2 93 1c 2b 0b 1b 84 a6..R。
0010-3e c8 b7 ca c5 67 65 82-16 df ac 51 cc ae d7 20> .... ge .... Q ...
0020-6a 2a 39 fd 8f f9 2a b7-e5 6d 27 47 c5 36 ef 65 j * 9 ... * .. m'G.6.e
復号化されたテキストは次のとおりです。
80000000000000000000000000000000
しかし、NISTテストベクトルによると、出力はddc6bf790c15760d8d9aeb6f9a75fd4e
私はOpenSSLをテストしていませんが、AES-CBCを正しく実装していると確信しています。ただし、プログラムは明らかに異なるデータを使用するため、異なる結果が得られるのは当然のことです。
テストベクトルは16進数で与えられます。例えば
KEY = 0000000000000000000000000000000000000000000000000000000000000000
IV = 00000000000000000000000000000000
PLAINTEXT = 80000000000000000000000000000000
CIPHERTEXT = ddc6bf790c15760d8d9aeb6f9a75fd4e
すべてのバイトの値が0である32バイトのキー(AES-256に適切なサイズ)を持っています。同様に、16バイトのIVはすべてのバイトが0であり、プレーンテキストは値0x80 = 128の後に15が続くバイトで構成されます値が0のバイト。暗号文は指定された16バイトの文字列です。
あなたのプログラムは、NIST表記では
KEY = 3030303030303030303030303030303030303030303030303030303030303030
IV = 30303030303030303030303030303030
PLAINTEXT = 38303030303030303030303030303030
つまり、キーは64バイトで構成され、各バイトはASCII文字のコード0など.
ところで、計算結果は正しいです(つまり、投稿した出力がプログラムのデータに対して正しいということです)。ただし、実際のプログラムで問題になるサイズについては、いくつか注意すべき点があります。 key変数には65バイトの配列(64バイト0x30=48='0'(数字のゼロ)と終端のnullバイト)—計算は配列の最初の32バイトのみを使用しますが、プログラムを混乱させるため、これは機能します。 IVについても同様です。平文の場合、長さはstrlenで計算します。これは、データにnullバイトが含まれていない場合にのみ機能するので、データがC文字列であるが、任意のバイナリデータではない場合に機能することに注意してください。 48バイトの出力をリストしていますが、32バイトの入力を供給したため、出力は実際には32バイトのみです。
出力サイズについて混乱している場合は、CBC暗号化の各入力ブロックで1つの出力ブロックが生成されます。実際には、CBC暗号化の出力にはCBCアルゴリズムの出力が含まれていないだけなので、2つの理由で出力が大きくなります。最初に、IVは通常、暗号文のプレフィックスとして送信されるため、IVである暗号文の先頭に追加のブロックがあります。つまり、「CBC暗号化メッセージ」は通常、IVと、それに続くCBCアルゴリズムの実際の出力で構成されます。次に、CBCは、サイズがブロックサイズの倍数であるデータを暗号化する方法のみを指定します(キーサイズに関係なく、AESの場合は16バイト)。したがって、任意サイズのデータを暗号化するには、パディングアルゴリズムを適用して整数のブロックを取得し、パディングアルゴリズムの結果にCBCを適用する必要があります。使用するOpenSSL関数は、適用 PKCS#7パディング (一般的な選択)を適用し、出力サイズが整数のブロックに切り上げられるか、または入力サイズが整数の場合ブロック、1つの追加出力ブロック。要約する:
CBC
32 bytes ------------> 32 bytes
PKCS#7 padding CBC preprend IV
32 bytes -----------------> 48 bytes -----------> 48 bytes ---------------> 64 bytes