Предупреждение: Крайне сложно получить криптографический код вправо. Это может быть еще сложнее в JavaScript, где вам часто не хватает контроля над средой исполнения и (как обсуждается ниже) отсутствие поддержки языка привело к несовместимым соглашениям. Я недостаточно изучил библиотеку CryptoJS, чтобы узнать о ее дизайне или безопасности, или же он безопасно используется в этом контексте.
Просьба не полагаться ни на один из этих кодов, чтобы быть подлинно безопасным без профессионального аудита.
Общей проблемой при работе с криптографическим кодом в JavaScript является отсутствие встроенного способа представления двоичных данных. Это было разрешено в современных двигателях (с типами Blobs и TypedArrays в браузере и Buffers в Node.js), но по-прежнему существует много кода, который не использует это в силу исторических или соображений совместимости.
Без этих встроенных типов одно общее соглашение (используемое встроенными функциями atob и btoa) заключается в использовании встроенного строкового типа для хранения двоичных данных. Строка JavaScript представляет собой список двухбайтовых значений (обычно содержащих символы Unicode, кодированные UCS-2/UTF-16). Пользователи, которые хотят хранить двоичные данные, часто просто используют младший байт, полностью игнорируя высший байт.
Если вы используете только данные, совместимые с ASCII, вы можете уйти от игнорирования этих деталей при использовании кода, подобного этому (т. Е. Все будет работать, но могут быть незначительные последствия для безопасности). Это связано с тем, что текст, закодированный как ASCII, выглядит так же, как текст, закодированный как UTF-16, с вычеркнутыми высокими байтами. Но когда вы выходите за рамки этого, вам нужно сделать некоторую кодировку.
Наиболее правильной вещью (помимо использования реального двоичного типа) было бы взять входную строку символов, закодировать ее до UTF-8 и поместить эти данные в нижние байты выходной строки. Однако JavaScript не предоставляет встроенную функцию для этого. В качестве грубой, но простой альтернативы, the encodeURIComponent function будет кодировать любую действительную строку юникода в представление на основе UTF-8 полностью защищенных URL-символов, которые являются совместимыми с ASCII. В случае вашего кода, это будет означать что-то вроде этого:
var key = "123";
var content = "secret text with an emoji, ";
var encrypted = aes_encrypt(key, encodeURIComponent(content));
var decrypted = decodeURIComponent(aes_decrypt(key, encrypted));
Если у вас есть много, не URL безопасных символов, это может привести к кодированным данным, будучи намного больше, чем необходимо, но оно должно быть безопасным.Кроме того, encodeURIComponent, по-видимому, выдает ошибку для строк, содержащих «непарные суррогатные символы». Я не думаю, что это должно происходить в обычном режиме, но кто-то может их изготовить.
Я ожидаю, что в CryptoJS есть более правильный способ справиться с такими вещами, но я не знаю об этом. Пожалуйста, подумайте над этим, если вы планируете развернуть этот код для общего использования.
Не могли бы вы предоставить ссылку на библиотеку криптографии, которую вы используете? Корневая проблема здесь заключается в том, что криптоалгоритмы работают с двоичными данными, а строки JavaScript - нет. Каждый символ в строке JavaScript имеет два байта. Криптокод, который обрабатывает строки JavaScript как двоичные данные, обычно игнорирует старший байт и предполагает, что нижние байты используются для хранения данных. Emoji требует, чтобы более высокий байт, данные которого теряются. Вам нужно явно кодировать ваши данные символа строки в UTF-8 в той или иной форме. Хакерным решением будет использование encode/decodeURIComponent до/после декодирования. –
@JeremyBanks Я использую копию оригинальной библиотеки из кода google (https://code.google.com/archive/p/crypto-js/). –
Является ли написанный вами файл aes_encrypt? – alexandergs