AES-256-CCM을 사용하여 Python으로 암호화 된 텍스트를 PHP에서 해독하는 방법

12잘못된 암호문 / 태그를 초래 하는 임시 바이트 길이 (OP에서 사용)에 대한 AES-CCM의 PHP 구현에 버그가있는 것 같습니다 . 그러나이 버그는 OP의 PHP 코드에있는 여러 결함으로 인해 숨겨져 있습니다. 따라서 이러한 결함을 먼저 수정해야합니다.

• Python 및 PHP 구현은 Python 코드에서 암호문과 태그가 해당 순서로 연결된다는 점에서 다릅니다. 반면 PHP 코드에서는 암호문과 태그가 별도로 처리됩니다.
• Python 코드의 임시 값은 PHP 코드의 IV에 해당합니다.
• PHP 코드에서 OPENSSL_RAW_DATA암호문이 Base64 인코딩이 아닌 원시 데이터로 전달되면 플래그를 설정해야합니다.
• nonce 및 ciphertext (+ 태그)의 값은 두 코드에서 다릅니다. 그러나 12 바이트 nonce에 대한 PHP 버그와 함께 12 바이트 nonce를 선택했기 때문에 수정은 의미가 없습니다. 아래를 참조하십시오. 즉, 성공적인 테스트를위한 전제 조건은 12 바이트와 같지 않은 nonce 크기입니다.

이러한 점을 고려한 PHP 구현은 다음과 같습니다.

<?php
// Data from Python code
$key_from_python = base64_decode('<Base64 encoded key from Python>');
$ciphertext_from_python = base64_decode('<Base64 encoded (ciphertext + tag) from Python>');
$nonce_from_python = base64_decode('<Base64 encoded nonce from Python>');
$cipher = 'aes-256-ccm';

// Separate ciphertext and tag
$tagLength = 8;
$ciphertext = substr($ciphertext_from_python, 0, -$tagLength);
$tag = substr($ciphertext_from_python, -$tagLength);

// Decrypt
if (in_array($cipher, openssl_get_cipher_methods())){
    $decrypted_mesage_from_pythom = openssl_decrypt($ciphertext, $cipher, $key_from_python, OPENSSL_RAW_DATA, $nonce_from_python, $tag);
    echo $decrypted_mesage_from_pythom;
}
?>

이 PHP 코드 를 사용하면 nonce의 길이가 12bytes와 같지 않는 한 Python 코드에서 데이터를 해독 할 수 있습니다 .

Python 및 PHP 구현은 길이 7가 13바이트 (둘 다 포함) 인 임시 값 s를 허용합니다. 여기 파이썬 . 12바이트 임시 값 문제와 관련하여 다음과 같은 결과가 나타납니다. PHP 코드 에서 마지막 바이트 를 제거하여 12바이트 임시 값이 바이트로 잘 리면 동일한 암호문 / 태그가 생성됩니다. 다음 PHP 코드는 태그 길이 및 바이트 (PHP 버전 7.4.4)에 대해이를 설명합니다.75816

<?php
function printCiphertextTag($plaintext, $key, $iv, $taglength){
    $encrypted = openssl_encrypt($plaintext, "aes-256-ccm", $key, OPENSSL_RAW_DATA, $iv, $tag, NULL, $taglength);
    echo sprintf("tag size: %2s, IV size: %2s, IV (hex): %-' 24s, ciphertext (hex): %s, tag (hex): %s\n", $taglength, strlen($iv), bin2hex($iv), bin2hex($encrypted), bin2hex($tag));
}

$plaintext = 'message from python'; 
$key = '01234567890123456789012345678901';
$nonce12 = openssl_random_pseudo_bytes(12);
$nonce7 = substr($nonce12, 0, 7);

printCiphertextTag($plaintext, $key, $iv = $nonce12, $taglength = 8);
printCiphertextTag($plaintext, $key, $iv = $nonce7, $taglength = 8);

printCiphertextTag($plaintext, $key, $iv = $nonce12, $taglength = 16);
printCiphertextTag($plaintext, $key, $iv = $nonce7, $taglength = 16);
?> 

이 결과는 PHP 구현의 버그를 나타냅니다.

대조적으로 Python 코드 12는 PHP 코드와 비교하여 바이트 임시 값에 대해 다른 암호문 / 태그를 생성 합니다 (이것이 12바이트 임시 값 을 사용하는 (수정 된) OP의 PHP 코드가 실패 하는 이유입니다 ). 동일한 매개 변수를 사용하여 Java / BC로 검사 하면 Python 코드 와 동일한 바이트 임시 값에 대해 동일한 암호문 / 태그가 생성되며 12, 이는 Python 코드의 값을 확인하고 다시 PHP 구현의 버그를 나타냅니다.

편집 : https://bugs.php.net/bug.php?id=79601 여기에 문제를 제출했습니다 . 참고 :이 문제는 관리자 가 비공개 로 설정 했기 때문에 적절한 권한 없이는 열 수 없습니다 (적어도 지금은). 여기 .