class User < ActiveRecord::Base attr_encrypted :name,key: 'This is a key that is 256 bits!!',encode: true,encode_iv: true,encode_salt: true end
╔════╦══════════════════════════════╦═══════════════════╗ ║ id ║ encrypted_name ║ encrypted_name_iv ║ ╠════╬══════════════════════════════╬═══════════════════╣ ║ 1 ║ aVXZb1b317nroumXVBdV9pGxA2o= ║ JyE7wHups+3upY5e ║ ║ 2 ║ aVXZb1b317nroumXVBdV9pGxA2o= ║ uz/ktrtbUAksg5Vp ║ ╚════╩══════════════════════════════╩═══════════════════╝
为什么密文相同?是不是iv的一部分,宝石是默认使用的哪一点?
解决方法
我确信你注意到了一个相当糟糕的安全问题,在encryptor gem(由attr_encrypted进行实际加密使用的宝石).
问题是当使用aes-256-gcm算法(或任何AES GCM算法)时,当加密时,初始化向量(IV)当前确实不被考虑.该问题不影响其他算法,但遗憾的是,aes-256-gcm是attr_encrypted中的默认算法.
事实证明,it is the order of setting the IV vs. the encryption key是什么原因造成的.当在密钥(如is in the gem)之前设置IV时,IV不被考虑,但是如果在密钥之后设置.
一些测试来证明问题:
在获取加密器宝石代码的部分时,我创建了最简单的测试用例来证明问题(在ruby 2.3.0下测试,根据OpenSSL版本“1.0.1f 2014年1月6日”编译):
def base64_enc(bytes)
[bytes].pack("m")
end
def test_aes_encr(n,cipher,data,key,iv,iv_before_key = true)
cipher = OpenSSL::Cipher.new(cipher)
cipher.encrypt
# THIS IS THE KEY PART OF THE ISSUE
if iv_before_key
# this is how it's currently present in the encryptor gem code
cipher.iv = iv
cipher.key = key
else
# this is the version that actually works
cipher.key = key
cipher.iv = iv
end
if cipher.name.downcase.end_with?("gcm")
cipher.auth_data = ""
end
result = cipher.update(data)
result << cipher.final
puts "#{n} #{cipher.name},iv #{iv_before_key ? "BEFORE" : "AFTER "} key: " +
"iv=#{iv},result=#{base64_enc(result)}"
end
def test_encryption
data = "something private"
key = "This is a key that is 256 bits!!"
# control tests using AES-256-CBC
test_aes_encr(1,"aes-256-cbc","aaaabbbbccccdddd",true)
test_aes_encr(2,"eeeeffffgggghhhh",true)
test_aes_encr(3,false)
test_aes_encr(4,false)
# failing tests using AES-256-GCM
test_aes_encr(5,"aes-256-gcm","aaaabbbbcccc",true)
test_aes_encr(6,"eeeeffffgggg",true)
test_aes_encr(7,false)
test_aes_encr(8,false)
end
运行test_encryption,使用AES-256-CBC加密文本,然后使用AES-256-GCM,每次在两个方案中使用两个不同的IV(IV之前/之后),得到以下结果:
# control tests with CBC: 1 AES-256-CBC,iv BEFORE key: iv=aaaabbbbccccdddd,result=4IAGcazRmEUIRDE3ZpEgoS0Nmm1/+nrd5VT2/Xab0WM= 2 AES-256-CBC,iv BEFORE key: iv=eeeeffffgggghhhh,result=T7um2Wgb2vw1r4uryF3xnBeq+KozuetjKGItfNKurGE= 3 AES-256-CBC,iv AFTER key: iv=aaaabbbbccccdddd,result=4IAGcazRmEUIRDE3ZpEgoS0Nmm1/+nrd5VT2/Xab0WM= 4 AES-256-CBC,iv AFTER key: iv=eeeeffffgggghhhh,result=T7um2Wgb2vw1r4uryF3xnBeq+KozuetjKGItfNKurGE= # the problematic tests with GCM: 5 id-aes256-GCM,iv BEFORE key: iv=aaaabbbbcccc,result=Tl/HfkWpwoByeYRz6Mz4yIo= 6 id-aes256-GCM,iv BEFORE key: iv=eeeeffffgggg,result=Tl/HfkWpwoByeYRz6Mz4yIo= 7 id-aes256-GCM,iv AFTER key: iv=aaaabbbbcccc,result=+4Iyn7RSDKimTQi0S3gn58E= 8 id-aes256-GCM,iv AFTER key: iv=eeeeffffgggg,result=3m9uEDyb9eh1RD3CuOCmc50=
这些测试表明,虽然设置IV与密钥的顺序与CBC相关,it is for GCM.更重要的是,CBC的加密结果对于两个不同的IV是不同的,而如果在密钥之前设置IV,则不是GCM.
我刚刚创建了一个pull request来解决这个问题在加密宝石.实际上你现在有几个选择:
>等到新版本的encryptor gem发布.
>也可以用attr_encrypted加盐.您应该使用盐进一步保护加密的数据.
非常不幸的是,所有已经加密的数据在修复后将变得不可破译,因为突然间将考虑到IV.
更新:encryptor 3.0.0可用
您现在可以在其中修复错误的upgrade the encryptor gem to version 3.0.现在,如果这是您第一次使用加密器或者attr_encrypted gems,那么您都可以设置,并且一切都应该正常工作.
如果您的数据已使用encryptor 2.0.0加密,则必须在gem升级后手动重新加密数据,否则将无法正确解密!在宝石升级期间,您将被警告.原理图程序如下:
>您必须使用Encryptor类解密所有加密数据(请参阅README的示例),使用以下命令:v2_gcm_iv =>真正的选择.这应该正确解密您的数据.
>然后,您必须再次加密相同的数据,现在没有此选项(即:v2_gcm_iv => false),但包括您的数据库中的正确的IV.
>如果您有生产数据,则需要离线进行升级,并在gem更新后立即进行升级,以确保没有数据损坏.
更新2:确认并修复了openssl gem中的问题
FYI,最近confirmed这实际上是底层的ruby-openssl库中的一个问题,现在bug已经是fixed了.所以,将来,即使使用attr_encrypted gem 2.x版本,如果与新的openssl-2.0.0 gem版本(现在是截至2016年9月版的Beta版)一起使用,实际上也可以正常工作.