将 Mcrypt 替换为 OpenSSL

php mcrypt openssl

2022-08-30 19:17:30

目前，我们在系统上有一个mcrypt，用于在我们的PHP应用程序中加密一些敏感的数据。现在我们有一个新的要求，我们必须将加密模块更改为openssl。另一件重要的事情是，我们正在使用密码河豚和模式ecb。因此，我开始测试什么是差异，以及如何使用openssl解密mcrypt加密字符串。

我使用了标准的PHP函数：

mcrypt_encrypt与openssl_encrypt
mcrypt_decrypt与openssl_decrypt

这两种方法都产生了不同的结果。第二件事是，在给定的密码（河豚）和模式（ecb）中，两种类型的IV长度都是必需的（openssl=0和mcrypt=56）。

有谁知道我如何轻松地更改模块而无需进行大量迁移工作？

提前致谢！

更新：

以下是我测试过的代码：

<?php 

function say($message){
    if(!is_string($message)){
        if(!isset($_SERVER["HTTP_USER_AGENT"])) echo "<pre>";
        echo var_export($message, true) . ((!isset($_SERVER["HTTP_USER_AGENT"]) ? "\n" : "<br />"));
        if(!isset($_SERVER["HTTP_USER_AGENT"])) echo "</pre>";
    }else{
        echo $message . ((!isset($_SERVER["HTTP_USER_AGENT"]) ? "\n" : "<br />"));
    }
}

say("= Begin raw encryption");
$key    = "anotherpass";
$str    = "does it work";

say("  Params:");
say("  - String to encrypt '".$str."'");
say("  - Key: ".$key);
say("");


$params = array(
    "openssl"  => array(
        "cipher"    => "BF",
        "mode"      => "ECB",
    ),
    "mcrypt" => array(
        "cipher"    => "blowfish", 
        "mode"      => "ecb",
    ),
);

say("= Mcrypt");
$handler = mcrypt_module_open($params['mcrypt']['cipher'], '', $params['mcrypt']['mode'], '');
$iv      = mcrypt_create_iv (mcrypt_enc_get_iv_size($handler), MCRYPT_RAND);
$keysize = mcrypt_enc_get_key_size($handler);
mcrypt_generic_init($handler,$key,"\0\0\0\0\0\0\0\0");
say("  Params:");
say("  - InitVector   ".bin2hex($iv)." (bin2hex)");
say("  - Max keysize  ".$keysize);
say("  - Cipher       ".$params['mcrypt']['cipher']);
say("  - Mode         ".$params['mcrypt']['mode']);
say("");
say("  Encryption:");
$m_encrypted = mcrypt_generic($handler, $str);
$m_decrypted = mdecrypt_generic($handler, $m_encrypted);
say("  - Encrypted   ".bin2hex($m_encrypted)." (bin2hex)");
say("  - Descrypted  ".$m_decrypted);
say("");


say("= Openssl");
say("  Params:");
say("  - InitVector   not needed");
say("  - Max keysize  ".openssl_cipher_iv_length($params['openssl']['cipher']."-".$params['openssl']['mode']));
say("  - Cipher       ".$params['openssl']['cipher']);
say("  - Mode         ".$params['openssl']['mode']);
say("");
say("  Encryption:");
$o_encrypted = openssl_encrypt($str,$params['openssl']['cipher']."-".$params['openssl']['mode'],$key,true);
$o_decrypted = openssl_decrypt($o_encrypted,$params['openssl']['cipher']."-".$params['openssl']['mode'],$key,true);
say("  - Encrypted   ".bin2hex($o_encrypted)." (bin2hex)");
say("  - Descrypted  ".$o_decrypted);

这是我的结果：

= Begin raw encryption
  Params:
  - String to encrypt 'does it work'
  - Key: anotherpass

= Mcrypt
  Params:
  - InitVector   06a184909d7bf863 (bin2hex)
  - Max keysize  56
  - Cipher       blowfish
  - Mode         ecb

  Encryption:
  - Encrypted   0e93dce9a6a88e343fe5f90d1307684c (bin2hex)
  - Descrypted  does it work

= Openssl
  Params:
  - InitVector   not needed
  - Max keysize  0
  - Cipher       BF
  - Mode         ECB

  Encryption:
  - Encrypted   213460aade8f9c14d8d51947b8231439 (bin2hex)
  - Descrypted  does it work

也许现在有什么想法？

谢谢！

答案 1

河豚是分组密码。它要求在加密之前填充数据。OpenSSL 使用 PKCS#7，mcrypt 使用 PKCS#5。数据的不同填充算法。最小 PKCS#5 填充长度为 0，对于 PKCS#7，它是 1（维基百科）。看看这个例子（我已经手动填充了PKCS#7样式的输入数据）：mcrypt_encrypt()

<?php 

$key = "anotherpassword1";
$str = "does it work 12";

$enc = mcrypt_encrypt(MCRYPT_BLOWFISH, $key, $str."\1", MCRYPT_MODE_ECB);
$dec = mcrypt_decrypt(MCRYPT_BLOWFISH, $key, $enc, MCRYPT_MODE_ECB);
echo(bin2hex($enc).PHP_EOL);
var_dump($dec);

$enc = openssl_encrypt($str, 'bf-ecb', $key, true);
$dec = openssl_decrypt($enc, 'bf-ecb', $key, true);
echo(bin2hex($enc).PHP_EOL);
var_dump($dec);

?>

不可能openssl_decrypt（）使用 mcrypt_encrypt（）加密的数据，除非在调用之前使用 PKCS#7 进行了手动数据填充。mcrypt_encrypt()

在这种情况下，只有一种方法 - 重新加密数据。

PS：您的来源中有一个错误 - ECB模式根本不使用IV（维基百科)

答案 2

如果您想使用 openssl 进行加密，并且仍然获得与使用 mcrypt 解密时使用 mcrypt 加密相同的结果，则需要在使用 openssl_encrypt 加密输入字符串之前手动对输入字符串进行空值填充并传递选项。OPENSSL_RAW_DATA | OPENSSL_ZERO_PADDING

$str = 'encrypt me';
$cipher = 'AES-256-CBC';
$key = '01234567890123456789012345678901';
$opts = OPENSSL_RAW_DATA | OPENSSL_ZERO_PADDING;
$iv_len = 16;
$str_len = mb_strlen($str, '8bit');
$pad_len = $iv_len - ($str_len % $iv_len);
$str .= str_repeat(chr(0), $pad_len);
$iv = openssl_random_pseudo_bytes($iv_len);


$encrypted = openssl_encrypt($str, $cipher, $key, $opts, $iv);

然后，使用mcrypt_decrypt进行解密将就像您也使用mcrypt进行加密一样。

mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $encrypted, MCRYPT_MODE_CBC, $iv)