RNCryptor不使用JSON字符串

时间:2013-01-10 16:48:06

标签: ios encryption encoding rncryptor

以下是我使用RNCryptor加密/解密我发送给Web服务的JSON字符串的方法。我使用静态IV变量可能是不好的做法,但请不要专注于此。我正是这样做的:

注意:我正在使用Matt Gallagher的NSData + Base64类别here(在页面底部)

-(NSString*)encryptString:(NSString*)plaintext withKey:(NSString*)key error:(NSError**)error{
    NSData *data = [plaintext dataUsingEncoding:NSUTF8StringEncoding];
    NSData *encryptionKey = [NSData dataFromBase64String:key];
    NSData *IV = [NSData dataFromBase64String:ENCRYPTION_IV];

    RNCryptorEngine *engine = [[RNCryptorEngine alloc] initWithOperation:kCCEncrypt settings:kRNCryptorAES256Settings key:encryptionKey IV:IV error:error];
    [engine addData:data error:error];
    NSData *encryptedData = [engine finishWithError:error];

    NSString *based64Encrypted = [encryptedData base64EncodedString];
    NSLog(@"Encrytped: %@", based64Encrypted);
    return based64Encrypted;
}
-(NSString*) decryptString:(NSString*)cipherText withKey:(NSString*)key error:(NSError**)error;{
    NSData *data = [NSData dataFromBase64String:cipherText];
    NSData *encryptionKey = [NSData dataFromBase64String:key];
    NSData *IV = [NSData dataFromBase64String:ENCRYPTION_IV];

    RNCryptorEngine *engine = [[RNCryptorEngine alloc] initWithOperation:kCCDecrypt settings:kRNCryptorAES256Settings key:encryptionKey IV:IV error:error];
    [engine addData:data error:error];
    NSData *decryptedData = [engine finishWithError:error];
    NSString *decryptedString = [[NSString alloc] initWithData:decryptedData encoding:NSUTF8StringEncoding];
    NSLog(@"Decrypted: %@", decryptedString);
    return decryptedString;
}

当我使用像hello world这样的字符串时,它可以正常工作。当我使用像{"username":"developer","password":"abcdefG*12"}这样的字符串时,我想它与编码有关,但我真的知道要使用什么。

当我加密该字符串时,我得到一个base64字符串,当我尝试解密时,我得到一个空字符串。

更新

由于json字符串中的 : ,它看起来失败了。 更奇怪的是它只是失败,字符串是json格式,我认为这是:因为我首先尝试了但是在进一步调查时我是否违反了任何JSON要求,的{​​{ 1}} {它停止了工作。它适用于}但是我不确定我做错了什么。无论哪种方式,我认为我们可能会重新设计当前的流量

更新2

以下是我调用这些方法的地方:

RNEncryptor

1 个答案:

答案 0 :(得分:3)

您没有收集addData:返回的数据。引擎加密/解密,因此您不必将整个明文和密文保存在内存中。除非必须(因为填充原因),否则它不会累积数据。我怀疑正在运行的测试长度不同于那些没有的测试。

你是正确的,使用固定的IV是不好的做法。如果您在多条消息中使用相同的IV和密钥,则攻击者可以通过比较密文来恢复部分消息。如果您使用AES-CBC而没有随机IV和HMAC,那么您的AES在几个方面是不安全的。这就是RNCryptor为解决问题而设计的问题,以及为什么数据格式看起来如此。

@jbtule是正确的,我并不特别想让人们直接使用引擎并且没有大量记录它,但使用它没有问题,我可以更好地记录它以支持它。也就是说,发动机本身非常简单;我刚创建它是一种在加密器和解密器之间共享代码的方法。如果您要绕过它提供的大部分安全性,没有太多理由使用RNCryptor。对于上面的代码,只需调用一次性CCCrypt()就可以轻松得多。

相关问题
最新问题