使用PyCrypto AES 256加密和解密

171

我正在尝试使用PyCrypto构建两个接受两个参数的函数：消息和密钥，然后对消息进行加密/解密。

我在网络上找到了几个链接可以帮助我，但每个链接都有缺陷：

在codekoala上，此代码使用os.urandom，PyCrypto不建议这样做。

此外，不能保证我提供给函数的键具有预期的确切长度。我该怎么做才能做到这一点？

另外，有几种模式，推荐哪种？我不知道该怎么用：/

最后，IV到底是什么？我可以提供不同的IV进行加密和解密，还是返回不同的结果？

编辑：删除了代码部分，因为它不安全。

— 西里尔·N。
source

12

os.urandom被鼓励在上PyCrypto网站。它使用了Microsoft的CryptGenRandom函数，该函数是CSPRNG

— Joel Vroom，

5

或/dev/urandom在Unix上使用

— Joel Vroom

2

需要说明的是，在此示例中，密码短语是密钥，密钥可以是128、192或256位（

— 标记

4

值得一提的是PyCrypto是一个死项目。最后一次提交是在2014年。PyCryptodome看起来像是一个不错的替代产品

— Overdrivr

1

这个问题很旧，但是我想指出（截至2020年）pycrypto可能已过时，不再受支持。看着他们的github页面（github.com/pycrypto/pycrypto），看来他们的最后一次提交是在2014年。我不愿使用不再开发的加密软件

— irritable_phd_syndrom

151

这是我的实现，并通过一些修复为我工作，并用32字节和iv到16字节增强了密钥和秘密短语的对齐方式：

import base64
import hashlib
from Crypto import Random
from Crypto.Cipher import AES

class AESCipher(object):

    def __init__(self, key): 
        self.bs = AES.block_size
        self.key = hashlib.sha256(key.encode()).digest()

    def encrypt(self, raw):
        raw = self._pad(raw)
        iv = Random.new().read(AES.block_size)
        cipher = AES.new(self.key, AES.MODE_CBC, iv)
        return base64.b64encode(iv + cipher.encrypt(raw.encode()))

    def decrypt(self, enc):
        enc = base64.b64decode(enc)
        iv = enc[:AES.block_size]
        cipher = AES.new(self.key, AES.MODE_CBC, iv)
        return self._unpad(cipher.decrypt(enc[AES.block_size:])).decode('utf-8')

    def _pad(self, s):
        return s + (self.bs - len(s) % self.bs) * chr(self.bs - len(s) % self.bs)

    @staticmethod
    def _unpad(s):
        return s[:-ord(s[len(s)-1:])]

— 莫尼特
source

14

我知道这已经有一段时间了，但是我认为这种回应可能会引起一些混乱。该函数使用32字节（256字节）的block_size填充输入数据，但是AES使用128位块大小。在AES256中，密钥是256位，但不是块大小。

— 单宁2015年

13

换句话说，应该删除“ self.bs”并替换为“ AES.block_size”

— Alexis

2

为什么要哈希密钥？如果您期望这就像一个密码，那么您不应该使用SHA256。最好使用PyCrypto提供的密钥派生功能，例如PBKDF2。

— tweaksp

5

@Chris-SHA256给出32字节的哈希-AES256的完美大小的密钥。假定密钥的生成/派生是随机的/安全的，并且应超出加密/解密代码的范围-散列只是保证密钥可与所选密码一起使用的保证。

— zwer

2

在_pad self.bs中需要访问，在_unpad中不需要访问

— mnothic

149

您可能需要以下两个功能：pad- unpad当输入的长度不是BLOCK_SIZE的倍数时，填充（执行加密时）和-取消填充（执行解密时）。

BS = 16
pad = lambda s: s + (BS - len(s) % BS) * chr(BS - len(s) % BS) 
unpad = lambda s : s[:-ord(s[len(s)-1:])]

所以您要问密钥的长度？您可以使用密钥的md5sum而不是直接使用它。

而且，根据我使用PyCrypto的经验，在输入相同的情况下，IV用于混合加密输出，因此将IV选择为随机字符串，并将其用作加密输出的一部分，然后用它来解密消息。

这是我的实现，希望它将对您有用：

import base64
from Crypto.Cipher import AES
from Crypto import Random

class AESCipher:
    def __init__( self, key ):
        self.key = key

    def encrypt( self, raw ):
        raw = pad(raw)
        iv = Random.new().read( AES.block_size )
        cipher = AES.new( self.key, AES.MODE_CBC, iv )
        return base64.b64encode( iv + cipher.encrypt( raw ) ) 

    def decrypt( self, enc ):
        enc = base64.b64decode(enc)
        iv = enc[:16]
        cipher = AES.new(self.key, AES.MODE_CBC, iv )
        return unpad(cipher.decrypt( enc[16:] ))

— 马库斯
source

1

如果您输入的输入正好是BLOCK_SIZE的倍数，会发生什么？我认为解压功能会有些混乱...

— Kjir

2

@Kjir，然后会将长度为BLOCK_SIZE的值chr（BS）的序列附加到原始数据。

— Marcus 2013年

1

@Marcus pad函数已损坏（至少在Py3中），请替换s[:-ord(s[len(s)-1:])]为使其在各个版本中均可使用。

— 2014年

2

@Torxed垫功能是与pycryptodome（pycrypto随访）果在CryptoUtil.Padding.pad（）

— 孔特

2

为什么不只将字符常量用作填充字符？

— Inaimathi

16

让我解决您有关“模式”的问题。AES256是一种分组密码。它以32字节的密钥和16字节的字符串（称为块）作为输入，并输出一个块。我们在操作模式下使用AES 进行加密。上面的解决方案建议使用CBC，这是一个示例。另一个称为CTR，使用起来更容易一些：

from Crypto.Cipher import AES
from Crypto.Util import Counter
from Crypto import Random

# AES supports multiple key sizes: 16 (AES128), 24 (AES192), or 32 (AES256).
key_bytes = 32

# Takes as input a 32-byte key and an arbitrary-length plaintext and returns a
# pair (iv, ciphtertext). "iv" stands for initialization vector.
def encrypt(key, plaintext):
    assert len(key) == key_bytes

    # Choose a random, 16-byte IV.
    iv = Random.new().read(AES.block_size)

    # Convert the IV to a Python integer.
    iv_int = int(binascii.hexlify(iv), 16) 

    # Create a new Counter object with IV = iv_int.
    ctr = Counter.new(AES.block_size * 8, initial_value=iv_int)

    # Create AES-CTR cipher.
    aes = AES.new(key, AES.MODE_CTR, counter=ctr)

    # Encrypt and return IV and ciphertext.
    ciphertext = aes.encrypt(plaintext)
    return (iv, ciphertext)

# Takes as input a 32-byte key, a 16-byte IV, and a ciphertext, and outputs the
# corresponding plaintext.
def decrypt(key, iv, ciphertext):
    assert len(key) == key_bytes

    # Initialize counter for decryption. iv should be the same as the output of
    # encrypt().
    iv_int = int(iv.encode('hex'), 16) 
    ctr = Counter.new(AES.block_size * 8, initial_value=iv_int)

    # Create AES-CTR cipher.
    aes = AES.new(key, AES.MODE_CTR, counter=ctr)

    # Decrypt and return the plaintext.
    plaintext = aes.decrypt(ciphertext)
    return plaintext

(iv, ciphertext) = encrypt(key, 'hella')
print decrypt(key, iv, ciphertext)

这通常称为AES-CTR。在将AES-CBC与PyCrypto结合使用时，我建议您谨慎使用。原因是它要求您指定填充方案，如其他给出的解决方案所示。通常，如果您对填充不太谨慎，则可以完全破坏加密的攻击！

现在，必须注意，密钥必须是一个随机的32字节字符串；密码不足够。通常，密钥是这样生成的：

# Nominal way to generate a fresh key. This calls the system's random number
# generator (RNG).
key1 = Random.new().read(key_bytes)

密钥也可以从密码派生：

# It's also possible to derive a key from a password, but it's important that
# the password have high entropy, meaning difficult to predict.
password = "This is a rather weak password."

# For added # security, we add a "salt", which increases the entropy.
#
# In this example, we use the same RNG to produce the salt that we used to
# produce key1.
salt_bytes = 8 
salt = Random.new().read(salt_bytes)

# Stands for "Password-based key derivation function 2"
key2 = PBKDF2(password, salt, key_bytes)

上面的一些解决方案建议使用SHA256派生密钥，但这通常被认为是不良的加密做法。查阅Wikipedia，了解更多有关操作模式的信息。

— 调整
source

iv_int = int（binascii.hexlify（iv），16）不起作用，将其替换为iv_int = int（binascii.hexlify（iv），16）加上'import binascii'，它应该可以工作（在Python 3.x上），否则就太好了！

— 瓦蒙德

请注意，最好使用自动加密模式作为AES-GCM。GCM内部使用CTR模式。

— kelalaka

此代码导致“ TypeError：对象类型<class'str'>无法传递给C代码”

— Da Woon Jung

7

对于想使用urlsafe_b64encode和urlsafe_b64decode的用户，以下是对我有用的版本（花了一些时间处理unicode问题之后）

BS = 16
key = hashlib.md5(settings.SECRET_KEY).hexdigest()[:BS]
pad = lambda s: s + (BS - len(s) % BS) * chr(BS - len(s) % BS)
unpad = lambda s : s[:-ord(s[len(s)-1:])]

class AESCipher:
    def __init__(self, key):
        self.key = key

    def encrypt(self, raw):
        raw = pad(raw)
        iv = Random.new().read(AES.block_size)
        cipher = AES.new(self.key, AES.MODE_CBC, iv)
        return base64.urlsafe_b64encode(iv + cipher.encrypt(raw)) 

    def decrypt(self, enc):
        enc = base64.urlsafe_b64decode(enc.encode('utf-8'))
        iv = enc[:BS]
        cipher = AES.new(self.key, AES.MODE_CBC, iv)
        return unpad(cipher.decrypt(enc[BS:]))

— 黄华
source

6

您可以使用SHA-1或SHA-256之类的加密哈希函数（不是 Python的内置函数）从任意密码中获取密码短语hash。Python在其标准库中包括对两者的支持：

import hashlib

hashlib.sha1("this is my awesome password").digest() # => a 20 byte string
hashlib.sha256("another awesome password").digest() # => a 32 byte string

您可以仅使用[:16]或来截断加密哈希值，[:24]并且它将在指定长度内保持其安全性。

— Nonneneo
source

13

您不应该使用SHA系列哈希函数从密码生成密钥-请参阅Coda Hale关于该主题的文章。考虑使用像scrypt这样的真实密钥派生函数。（Coda Hale的文章是在scrypt出版之前写的。）

— Benjamin Barenblat

7

对于将来的读者，如果您希望从密码短语中获取密钥，请寻找PBKDF2。在python中很容易使用（pypi.python.org/pypi/pbkdf2）。但是，如果要散列密码，则bcrypt是更好的选择。

— C Fairweather

6

感谢其他启发但对我不起作用的答案。

在花了数小时试图弄清楚它是如何工作之后，我想到了下面的实现，并带有最新的PyCryptodomex库（这是我如何在Windows上的virtualenv .. phew中成功设置它的代理）

。在实现时，请记住写下填充，编码，加密步骤（反之亦然）。您必须打包和拆包，并牢记顺序。

导入base64
导入hashlib
从Cryptodome.Cipher导入AES
从Cryptodome.Random导入get_random_bytes

__key__ = hashlib.sha256（b'16个字符的键'）.digest（）

def加密（原始）：
    BS = AES.block_size
    pad = lambda s：s +（BS-len％BS）* chr（BS-len％BS）

    原始= base64.b64encode（pad（raw）.encode（'utf8'））
    iv = get_random_bytes（AES.block_size）
    密码= AES.new（密钥= __密钥__，模式= AES.MODE_CFB，iv = iv）
    返回base64.b64encode（iv + cipher.encrypt（raw））

def解密（enc）：
    unpad = lambda s：s [：-ord（s [-1：]）]

    enc = base64.b64decode（enc）
    iv = enc [：AES.block_size]
    cipher = AES.new（__ key__，AES.MODE_CFB，iv）
    返回unpad（base64.b64decode（cipher.decrypt（enc [AES.block_size：]））。decode（'utf8'））

— 岑卡里奥兹
source

衷心感谢您使用PyCryptodomeX库提供的有效示例。那很有帮助！

— Ygramul

5

为了他人的利益，这是我结合@Cyril和@Marcus的答案所获得的解密实现。假定此消息是通过HTTP请求传入的，该消息带有quoted和base64编码。

import base64
import urllib2
from Crypto.Cipher import AES


def decrypt(quotedEncodedEncrypted):
    key = 'SecretKey'

    encodedEncrypted = urllib2.unquote(quotedEncodedEncrypted)

    cipher = AES.new(key)
    decrypted = cipher.decrypt(base64.b64decode(encodedEncrypted))[:16]

    for i in range(1, len(base64.b64decode(encodedEncrypted))/16):
        cipher = AES.new(key, AES.MODE_CBC, base64.b64decode(encodedEncrypted)[(i-1)*16:i*16])
        decrypted += cipher.decrypt(base64.b64decode(encodedEncrypted)[i*16:])[:16]

    return decrypted.strip()

— 斯科特罗格夫斯基
source

5

对此的另一种看法（很大程度上来自上述解决方案），但

使用null进行填充
不使用lambda（从不成为粉丝）

用python 2.7和3.6.5测试

#!/usr/bin/python2.7
# you'll have to adjust for your setup, e.g., #!/usr/bin/python3


import base64, re
from Crypto.Cipher import AES
from Crypto import Random
from django.conf import settings

class AESCipher:
    """
      Usage:
      aes = AESCipher( settings.SECRET_KEY[:16], 32)
      encryp_msg = aes.encrypt( 'ppppppppppppppppppppppppppppppppppppppppppppppppppppppp' )
      msg = aes.decrypt( encryp_msg )
      print("'{}'".format(msg))
    """
    def __init__(self, key, blk_sz):
        self.key = key
        self.blk_sz = blk_sz

    def encrypt( self, raw ):
        if raw is None or len(raw) == 0:
            raise NameError("No value given to encrypt")
        raw = raw + '\0' * (self.blk_sz - len(raw) % self.blk_sz)
        raw = raw.encode('utf-8')
        iv = Random.new().read( AES.block_size )
        cipher = AES.new( self.key.encode('utf-8'), AES.MODE_CBC, iv )
        return base64.b64encode( iv + cipher.encrypt( raw ) ).decode('utf-8')

    def decrypt( self, enc ):
        if enc is None or len(enc) == 0:
            raise NameError("No value given to decrypt")
        enc = base64.b64decode(enc)
        iv = enc[:16]
        cipher = AES.new(self.key.encode('utf-8'), AES.MODE_CBC, iv )
        return re.sub(b'\x00*$', b'', cipher.decrypt( enc[16:])).decode('utf-8')

— 美基
source

如果输入的byte []带有尾随的null，则将不起作用，因为在crypto（）函数中，您将吃掉填充null加上任何尾随的null。

— Buzz Moschetti

是的，正如我上面所说的，此逻辑用空填充。如果您想要编码/解码的项目可能带有尾随空值，则最好在此处使用其他解决方案之一

— -MIkee，

3

我都用了Crypto和PyCryptodomex库，它是速度极快...

import base64
import hashlib
from Cryptodome.Cipher import AES as domeAES
from Cryptodome.Random import get_random_bytes
from Crypto import Random
from Crypto.Cipher import AES as cryptoAES

BLOCK_SIZE = AES.block_size

key = "my_secret_key".encode()
__key__ = hashlib.sha256(key).digest()
print(__key__)

def encrypt(raw):
    BS = cryptoAES.block_size
    pad = lambda s: s + (BS - len(s) % BS) * chr(BS - len(s) % BS)
    raw = base64.b64encode(pad(raw).encode('utf8'))
    iv = get_random_bytes(cryptoAES.block_size)
    cipher = cryptoAES.new(key= __key__, mode= cryptoAES.MODE_CFB,iv= iv)
    a= base64.b64encode(iv + cipher.encrypt(raw))
    IV = Random.new().read(BLOCK_SIZE)
    aes = domeAES.new(__key__, domeAES.MODE_CFB, IV)
    b = base64.b64encode(IV + aes.encrypt(a))
    return b

def decrypt(enc):
    passphrase = __key__
    encrypted = base64.b64decode(enc)
    IV = encrypted[:BLOCK_SIZE]
    aes = domeAES.new(passphrase, domeAES.MODE_CFB, IV)
    enc = aes.decrypt(encrypted[BLOCK_SIZE:])
    unpad = lambda s: s[:-ord(s[-1:])]
    enc = base64.b64decode(enc)
    iv = enc[:cryptoAES.block_size]
    cipher = cryptoAES.new(__key__, cryptoAES.MODE_CFB, iv)
    b=  unpad(base64.b64decode(cipher.decrypt(enc[cryptoAES.block_size:])).decode('utf8'))
    return b

encrypted_data =encrypt("Hi Steven!!!!!")
print(encrypted_data)
print("=======")
decrypted_data = decrypt(encrypted_data)
print(decrypted_data)

— Smack Alpha
source

2

还不晚，但是我认为这将非常有帮助。没有人提及像PKCS＃7填充这样的使用方案。您可以使用它代替以前的函数进行填充（加密时）和取消填充（解密时）。i将在下面提供完整的源代码。

import base64
import hashlib
from Crypto import Random
from Crypto.Cipher import AES
import pkcs7
class Encryption:

    def __init__(self):
        pass

    def Encrypt(self, PlainText, SecurePassword):
        pw_encode = SecurePassword.encode('utf-8')
        text_encode = PlainText.encode('utf-8')

        key = hashlib.sha256(pw_encode).digest()
        iv = Random.new().read(AES.block_size)

        cipher = AES.new(key, AES.MODE_CBC, iv)
        pad_text = pkcs7.encode(text_encode)
        msg = iv + cipher.encrypt(pad_text)

        EncodeMsg = base64.b64encode(msg)
        return EncodeMsg

    def Decrypt(self, Encrypted, SecurePassword):
        decodbase64 = base64.b64decode(Encrypted.decode("utf-8"))
        pw_encode = SecurePassword.decode('utf-8')

        iv = decodbase64[:AES.block_size]
        key = hashlib.sha256(pw_encode).digest()

        cipher = AES.new(key, AES.MODE_CBC, iv)
        msg = cipher.decrypt(decodbase64[AES.block_size:])
        pad_text = pkcs7.decode(msg)

        decryptedString = pad_text.decode('utf-8')
        return decryptedString

import StringIO
import binascii


def decode(text, k=16):
    nl = len(text)
    val = int(binascii.hexlify(text[-1]), 16)
    if val > k:
        raise ValueError('Input is not padded or padding is corrupt')

    l = nl - val
    return text[:l]


def encode(text, k=16):
    l = len(text)
    output = StringIO.StringIO()
    val = k - (l % k)
    for _ in xrange(val):
        output.write('%02x' % val)
    return text + binascii.unhexlify(output.getvalue())

— 帕纳焦蒂斯·德拉卡托斯（Panagiotis Drakatos）
source

我不知道是谁拒绝了答案，但我很想知道为什么。也许这种方法不安全？一个解释会很好。

— 西里尔N.16年

1

@CyrilN。该答案表明，仅通过一次SHA-256调用来对密码进行哈希处理就足够了。不是。您确实应该使用PBKDF2或类似的方法通过大量迭代从密码派生密钥。

— Artjom B.

感谢您提供@ArtjomB的详细信息。

— 西里尔N.17年

我有一个密钥，还有具有44个长度的iv密钥。我如何使用您的功能？我在互联网上找到的所有算法，矢量键的长度都有问题

— mahshid.r

2

https://stackoverflow.com/a/21928790/11402877

兼容的utf-8编码

def _pad(self, s):
    s = s.encode()
    res = s + (self.bs - len(s) % self.bs) * chr(self.bs - len(s) % self.bs).encode()
    return res

— 六一
source

1

from Crypto import Random
from Crypto.Cipher import AES
import base64

BLOCK_SIZE=16
def trans(key):
     return md5.new(key).digest()

def encrypt(message, passphrase):
    passphrase = trans(passphrase)
    IV = Random.new().read(BLOCK_SIZE)
    aes = AES.new(passphrase, AES.MODE_CFB, IV)
    return base64.b64encode(IV + aes.encrypt(message))

def decrypt(encrypted, passphrase):
    passphrase = trans(passphrase)
    encrypted = base64.b64decode(encrypted)
    IV = encrypted[:BLOCK_SIZE]
    aes = AES.new(passphrase, AES.MODE_CFB, IV)
    return aes.decrypt(encrypted[BLOCK_SIZE:])

— 元
source

10

请不仅提供代码，还请说明您在做什么以及为什么这样做更好/与现有答案有何不同。

— Florian Koch

用md5（key）.digest（）替换md5.new（key）.digest（），它就像一个魅力！

— 斯蒂芬妮