从 PHP 到 Golang 的 aes-256-gcm 解密

学习Golang要努力，但是不要急！今天的这篇文章《从 PHP 到 Golang 的 aes-256-gcm 解密》将会介绍到等等知识点，如果你想深入学习Golang，可以关注我！我会持续更新相关文章的，希望对大家都能有所帮助！

我有一个在 php 中使用的加密函数

function encrypt(?string $content, string $key): string {
    return openssl_encrypt($content, 'aes-256-gcm', $key, openssl_raw_data, $iv = random_bytes(16), $tag, '', 16) . $iv . $tag;
}

与解密功能配对

function decrypt(?string $ciphertext, string $key): ?string {
    if (strlen($ciphertext) < 32)
        return null;

    $content = substr($ciphertext, 0, -32);
    $iv = substr($ciphertext, -32, -16);
    $tag = substr($ciphertext, -16);

    try {
        return openssl_decrypt($content, 'aes-256-gcm', $key, openssl_raw_data, $iv, $tag);
    } catch (exception $e) {
        return null;
    }
}

我将从加密函数加密的数据存储到我的数据库中，现在我尝试在 go 中解密这些相同的值，但我收到 cipher: messageauthentication failed 并且我不知道我在做什么失踪了。

c := []byte(`encrypted bytes of sorts`) // the bytes from the db

content := c[:len(c)-32]
iv := c[len(c)-32 : len(c)-16]
tag := c[len(c)-16:]

block, err := aes.newcipher(key[:32])
if err != nil {
    panic(err.error())
}

aesgcm, err := cipher.newgcmwithnoncesize(block, 16)
if err != nil {
    panic(err.error())
}

fmt.println(aesgcm.noncesize(), aesgcm.overhead()) // making sure iv and tag are both 16 bytes

plaintext, err := aesgcm.open(nil, iv, append(content, tag...), nil)
if err != nil {
    panic(err.error())
}

值得注意的是，我使用的密钥不是 32 字节（它更大），因为我不知道所需的密钥/应该是 32 字节，所以我不完全确定 php 在做什么与它（例如将其截断为 32 与使用具有 32 字节输出的内容与其他内容进行哈希处理）。

从go源代码中查看open函数，看起来标签应该是文本的最后一个“标签大小”字节，所以这就是为什么我在解析片段后将标签附加到密文中。 p>

// copied from c:\go\src\crypto\cipher\gcm.go, go version 1.11
func (g *gcm) open(dst, nonce, ciphertext, data []byte) ([]byte, error) {
    if len(nonce) != g.noncesize {
        panic("cipher: incorrect nonce length given to gcm")
    }

    if len(ciphertext) < gcmtagsize {
        return nil, erropen
    }
    if uint64(len(ciphertext)) > ((1<<32)-2)*uint64(g.cipher.blocksize())+gcmtagsize {
        return nil, erropen
    }

    tag := ciphertext[len(ciphertext)-gcmtagsize:]
    ciphertext = ciphertext[:len(ciphertext)-gcmtagsize]

    var counter, tagmask [gcmblocksize]byte
    g.derivecounter(&counter, nonce)

    g.cipher.encrypt(tagmask[:], counter[:])
    gcminc32(&counter)

    var expectedtag [gcmtagsize]byte
    g.auth(expectedtag[:], ciphertext, data, &tagmask)

    ret, out := sliceforappend(dst, len(ciphertext))

    if subtle.constanttimecompare(expectedtag[:], tag) != 1 {
        // the aesni code decrypts and authenticates concurrently, and
        // so overwrites dst in the event of a tag mismatch. that
        // behavior is mimicked here in order to be consistent across
        // platforms.
        for i := range out {
            out[i] = 0
        }
        return nil, erropen
    }

    g.countercrypt(out, ciphertext, &counter)

    return ret, nil
}

使用上述函数的 php 示例

$key = 'outspoken outburst treading cramp cringing';

echo bin2hex($enc = encrypt('yeet', $key)), '<br>'; // 924b3ba418f49edc1757f3fe88adcaa7ec4c1e7d15811fd0b712b0b091433073f6a38d7b
var_export(decrypt($enc, $key)); // 'yeet'

去

c, err := hex.DecodeString(`924b3ba418f49edc1757f3fe88adcaa7ec4c1e7d15811fd0b712b0b091433073f6a38d7b`)
if err != nil {
    panic(err.Error())
}
key := []byte(`outspoken outburst treading cramp cringing`)

content := c[:len(c)-32]
iv := c[len(c)-32 : len(c)-16]
tag := c[len(c)-16:]

block, err := aes.NewCipher(key[:32])
if err != nil {
    panic(err.Error())
}

aesgcm, err := cipher.NewGCMWithNonceSize(block, 16)
if err != nil {
    panic(err.Error())
}

ciphertext := append(content, tag...) // or `ciphertext := content`, same error

plaintext, err := aesgcm.Open(nil, iv, ciphertext, nil)
if err != nil {
    panic(err.Error()) // panic: cipher: message authentication failed
}

解决方案

通常加密消息看起来像 iv+ciphertext+tag，而不是 ciphertext+iv+tag。当一个人偏离惯例时，就会遇到各种各样的问题:-)

您是否看到在调用 append(ciphertext, tag...) 之后 iv 切片 发生了什么？ 您实际上用 tag 覆盖 iv：

before:
924b3ba4 18f49edc1757f3fe88adcaa7ec4c1e7d 15811fd0b712b0b091433073f6a38d7b
after:
924b3ba4 15811fd0b712b0b091433073f6a38d7b 15811fd0b712b0b091433073f6a38d7b

作为快速修复，请在调用 append() 之前复制 iv：

iv := make([]byte, 16)
copy(iv, c[len(c)-32 : len(c)-16])

有关切片的更多信息，请访问 here。

理论要掌握，实操不能落！以上关于《从 PHP 到 Golang 的 aes-256-gcm 解密》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！