我有兴趣构建一个供个人使用的小应用程序,它将使用 JavaScript 在客户端加密和解密信息。加密信息将存储在服务器上的数据库中,但绝不会是解密版本。
它不必是超级安全的,但我想使用当前未破坏的算法。
理想情况下,我可以做类似的事情
var gibberish = encrypt(string, salt, key);
生成编码字符串,以及类似的东西
var sensical = decrypt(gibberish, key);
稍后解码。
到目前为止,我已经看到了这个:http : //bitwiseshiftleft.github.io/sjcl/
我应该看看其他图书馆吗?
var encrypted = CryptoJS.AES.encrypt("Message", "Secret Passphrase");
//U2FsdGVkX18ZUVvShFSES21qHsQEqZXMxQ9zgHy+bu0=
var decrypted = CryptoJS.AES.decrypt(encrypted, "Secret Passphrase");
//4d657373616765
document.getElementById("demo1").innerHTML = encrypted;
document.getElementById("demo2").innerHTML = decrypted;
document.getElementById("demo3").innerHTML = decrypted.toString(CryptoJS.enc.Utf8);Full working sample actually is:
<script src="https://cdnjs.cloudflare.com/ajax/libs/crypto-js/3.1.2/rollups/aes.js" integrity="sha256-/H4YS+7aYb9kJ5OKhFYPUjSJdrtV6AeyJOtTkw6X72o=" crossorigin="anonymous"></script>
<br><br>
<label>encrypted</label>
<div id="demo1"></div>
<br>
<label>decrypted</label>
<div id="demo2"></div>
<br>
<label>Actual Message</label>
<div id="demo3"></div>这是一个可靠的加密库,具有很多功能。它实现了哈希器、HMAC、PBKDF2 和密码。在这种情况下,密码就是您所需要的。查看项目主页上的快速入门指南。
你可以用 AES 做类似的事情:
<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/rollups/aes.js"></script>
<script>
var encryptedAES = CryptoJS.AES.encrypt("Message", "My Secret Passphrase");
var decryptedBytes = CryptoJS.AES.decrypt(encryptedAES, "My Secret Passphrase");
var plaintext = decryptedBytes.toString(CryptoJS.enc.Utf8);
</script>
至于安全性,在我编写 AES 算法的那一刻被认为是完整的
编辑 :
似乎在线 URL 已关闭,您可以从下面给定的链接中使用下载的文件进行加密,并将相应的文件放在应用程序的根文件夹中。
https://code.google.com/archive/p/crypto-js/downloads
或使用其他 CDN,如https://cdnjs.cloudflare.com/ajax/libs/crypto-js/3.1.2/components/aes-min.js
我创建了一个不安全但简单的文本密码/解密实用程序。不依赖任何外部库。
这些是功能:
const cipher = salt => {
const textToChars = text => text.split('').map(c => c.charCodeAt(0));
const byteHex = n => ("0" + Number(n).toString(16)).substr(-2);
const applySaltToChar = code => textToChars(salt).reduce((a,b) => a ^ b, code);
return text => text.split('')
.map(textToChars)
.map(applySaltToChar)
.map(byteHex)
.join('');
}
const decipher = salt => {
const textToChars = text => text.split('').map(c => c.charCodeAt(0));
const applySaltToChar = code => textToChars(salt).reduce((a,b) => a ^ b, code);
return encoded => encoded.match(/.{1,2}/g)
.map(hex => parseInt(hex, 16))
.map(applySaltToChar)
.map(charCode => String.fromCharCode(charCode))
.join('');
}
// To create a cipher
const myCipher = cipher('mySecretSalt')
//Then cipher any text:
console.log(myCipher('the secret string'))
//To decipher, you need to create a decipher and use it:
const myDecipher = decipher('mySecretSalt')
console.log(myDecipher("7c606d287b6d6b7a6d7c287b7c7a61666f"))利用 SJCL、CryptoJS 和/或 WebCrypto 的现有答案不一定是错误的,但它们并不像您最初怀疑的那样安全。通常你想使用 libsodium。首先我将解释为什么,然后解释如何。
简短回答:为了让您的加密真正安全,这些库希望您做出太多选择,例如分组密码模式(CBC、CTR、GCM;如果您无法分辨我刚刚列出的三个中的哪一个是安全的使用和在什么样的约束,你不应该有这种选择的负担在所有)。
除非你的职位是密码学工程师,否则你安全地实施它的可能性很大。
CryptoJS 提供了一些构建块,并希望您知道如何安全地使用它们。它甚至默认为 CBC 模式(已存档)。
WebCrypto 是一个便餐标准,由委员会设计,用于与密码工程正交的目的。具体来说,WebCrypto 旨在取代 Flash,而不是提供安全性。
SJCL 的公共 API 和文档要求用户使用人类记住的密码加密数据。这在现实世界中很少(如果有的话)您想要做的。
另外:它的默认 PBKDF2 轮数大约是您希望的 86 倍。AES-128-CCM 可能没问题。
在上述三个选项中,SJCL 最不可能以眼泪收场。但是有更好的选择。
您无需在密码模式菜单、散列函数和其他不必要的选项之间进行选择。您永远不会冒着搞砸参数和从协议中删除所有安全性的风险。
相反,libsodium只是为您提供针对最大安全性和简约 API 进行调整的简单选项。
crypto_box()/crypto_box_open()提供经过身份验证的公钥加密。
crypto_secretbox()/crypto_secretbox_open()提供共享密钥认证加密。
此外,libsodium绑定了数十种流行的编程语言,因此当尝试与另一个编程堆栈进行互操作时,libsodium 很可能会正常工作。此外,libsodium 在不牺牲安全性的情况下往往非常快。
首先,你需要决定一件事:
如果您选择了第一个选项,请获取CipherSweet.js。
该文档可在线获取。EncryptedField对于大多数用例来说已经足够了,但是如果您有很多不同的字段要加密,则EncryptedRow和EncryptedMultiRowsAPI 可能会更容易。
使用 CipherSweet,您甚至不需要知道 nonce/IV 是什么就可以安全地使用它。
此外,这种处理int/float加密不会通过密文大小泄露有关内容的事实。
否则,您将需要钠加,它是各种 libsodium 包装器的用户友好前端。钠加允许您编写易于审计和推理的高性能、异步、跨平台代码。
要安装钠加,只需运行...
npm install sodium-plus
目前没有用于浏览器支持的公共 CDN。这将很快改变。但是,如果需要,您可以sodium-plus.min.js从最新的 Github 版本中获取。
const { SodiumPlus } = require('sodium-plus');
let sodium;
(async function () {
if (!sodium) sodium = await SodiumPlus.auto();
let plaintext = 'Your message goes here';
let key = await sodium.crypto_secretbox_keygen();
let nonce = await sodium.randombytes_buf(24);
let ciphertext = await sodium.crypto_secretbox(
plaintext,
nonce,
key
);
console.log(ciphertext.toString('hex'));
let decrypted = await sodium.crypto_secretbox_open(
ciphertext,
nonce,
key
);
console.log(decrypted.toString());
})();可以在 Github 上找到关于 salt -plus的文档。
如果您需要分步教程,这篇 dev.to 文章可以满足您的需求。
现代浏览器现在支持crypto.subtleAPI,它使用以下方法之一提供本机加密和解密功能(异步不少!):AES-CBC、AES-CTR、AES-GCM 或 RSA-OAEP。