探讨.NET Core数据加密和解密问题

前言

一直困扰着我关于数据加密这一块，24号晚上用了接近3个小时去完成一项任务，本以为立马能解决，但是为了保证数据的安全性，我们开始去对数据进行加密，然后接下来3个小时专门去研究加密这一块，然而用着用着却发现了一点问题，于是下班回来到写这篇博客到深夜才正式解决，请往下看。

3DES数据加密

由于数据需要获取出来并显示于是只能使用对称加密，关于加密这一块网上对于.NET Framework的实现数不胜数，好像对于.NET Core这一块比较少，于是就开始进行研究。这个时候就利用DES或者Triple DES也称作3DES，全名为Triple Data Encryption Algorithm (TDEA or Triple DEA)，也就是对称密码块密码，3DES对数据的每个数据块利用算法进行3次加密，最初开始设计该算法时，位数只有56位也就是7个字节，设计者认为已经足够用，但是随着计算机的高速发展，暴露破解已经使得该算法呈现的问题日益突出，而3DES算法的出现提供了一种比较简单的方法来增加密钥的大小从而防止***，而不是重新设计一套全新的分组密码算法。

3DES加密算法命名

定义算法最早期的标准被放在ANS X9.52中并在1998年发布并将其描述为三重数据加密算法（简称TDEA），在ANSI X3.92中定义了该算法的三个操作但是并没有使用DES或者3DES，直到1999年发布的FIPS PUB 46-3在正式命名三重数据加密算法，大概在2004到2005的样子才正式引入三重数据加密算法，之前一直以TDEA存在着，也就是说TDEA就是3DES，但是没有使用3DES作为标准术语。

3DES算法逻辑

三重数据加密算法使用包括密钥K1，密钥K2和密钥约束K3，每一个包含56位不包含奇偶校验，算法实现公式如下：

ciphertext = EK3(DK2(EK1(plaintext)))

即

密文 = EK3(DK2(EK1(平文)))

用K1对数据进行加密，用K2对数据进行解密，用K3对数据再加密。

解密公式为如下：

plaintext = DK1(EK2(DK3(ciphertext)))

即

平文 = DK1(EK2(DK3(密文)))

用K3j对数据进行解密，用K2对数据进行加密，用K1对数据进行加密。每次加密都处理64位数据并形成一块。

3DES加密选项

定义了三种密钥选项。

（1）三个密钥相互独立。

（2）K1和K2密钥独立，但K1 = K3。

（3）三个密钥相等。

密钥选项1的强度最高，拥有3 x 56 = 168个独立的密钥位。

密钥选项2的安全性稍低，拥有2 x 56 = 112个独立的密钥位。该选项比简单的应用DES两次的强度较高，即使用K1和K2，因为它可以防御中途相遇***。

密钥选项3等同与DES，只有56个密钥位。这个选项提供了与DES的兼容性，因为第1和第2次DES操作相互抵消了。该选项不再为国家标准科技协会（NIST）所推荐，亦不为ISO/IEC 18033-3所支持。

利用3DES在.NET Framework中实现加密和解密

我们看下在.NET Framework中对于3DES的具体实现，如下：

           DesEncrypt( input, [] inputArray == ====[] resultArray = cTransform.TransformFinalBlock(inputArray,  Convert.ToBase64String(resultArray,    DesDecrypt( input, [] inputArray == ====[] resultArray = cTransform.TransformFinalBlock(inputArray,

我们给出一个16位的加密密钥，然后对相应数据进行加密和解密

            var name = "Jeffcky";            var encryptStr = DesEncrypt(name, "sblw-3hn8-sqoy19");
            Console.WriteLine(name);            var decryptStr = DesDecrypt(encryptStr, "sblw-3hn8-sqoy19");
            Console.WriteLine(decryptStr);

我们定义密钥为16个字节，即此时应该是有两个密钥，但是此时密钥却不同，所以猜测内部实现的3DES密码选项中的第二项，因为密钥3和密钥1相等，既然没出错，内部应该会去拿密钥1中的位数作为密钥3的位数。接下里我们再来看在.NET Core中的情况。

利用3DES在.NET Core实现加密和解密

由于在.NET Core中不存在 TripleDESCryptoServiceProvider 取而代之的是 TripleDES ，所以此时我们的代码需要稍作修改，如下：

        public static string DesEncrypt(string input, string key)
        {            byte[] inputArray = Encoding.UTF8.GetBytes(input);            var tripleDES = TripleDES.Create();            var byteKey = Encoding.UTF8.GetBytes(key);
            tripleDES.Key = byteKey;
            tripleDES.Mode = CipherMode.ECB;
            tripleDES.Padding = PaddingMode.PKCS7;
            ICryptoTransform cTransform = tripleDES.CreateEncryptor();            byte[] resultArray = cTransform.TransformFinalBlock(inputArray, 0, inputArray.Length);            return Convert.ToBase64String(resultArray, 0, resultArray.Length);
        }        public static string DesDecrypt(string input, string key)
        {            byte[] inputArray = Convert.FromBase64String(input);            var tripleDES = TripleDES.Create();            var byteKey = Encoding.UTF8.GetBytes(key);
            tripleDES.Key = byteKey;
            tripleDES.Mode = CipherMode.ECB;
            tripleDES.Padding = PaddingMode.PKCS7;
            ICryptoTransform cTransform = tripleDES.CreateDecryptor();            byte[] resultArray = cTransform.TransformFinalBlock(inputArray, 0, inputArray.Length);            return Encoding.UTF8.GetString(resultArray);
        }

接着进行调用：

            var name = "Jeffcky";            var encryptStr = DesEncrypt(name, "sblw-3hn8-sqoy19");
            Console.WriteLine(name);            var decryptStr = DesDecrypt(encryptStr, "sblw-3hn8-sqoy19");
            Console.WriteLine(decryptStr);

结果出错了详细信息如下：

System.Security.Cryptography.CryptographicException:“Specified key is not a valid size for this algorithm.”

由上说明我们给出密钥的大小对于3DES对称加密算法时无效的，为何呢，在.NET Framework是好使的呀，当我们调试时将鼠标放在3DES中密钥时你会发现它实际需要的字节为24个字节，而我们只提供了16个字节，如下：

所以到这里我们应该知道问题出在什么地方了，根据我们对3DES的介绍内部实现的选项应该是密钥选项2，将密钥1和密钥2独立开来，而密钥3和密钥相同，在.NET Framework中我们只要两个密钥即可，因为第三个密钥和第一个相同，既然没出错肯定是内部重用了密钥1，但是在.NET Core需要我们给出24个字节，说明即使密钥1和密钥3相同也要我们提供密钥的字节，所以我们只要将密钥1中的八个字节拷贝到密钥3中，这样就有了24个字节，实现如下：

        public static string DesEncrypt(string input, string key)
        {            byte[] inputArray = Encoding.UTF8.GetBytes(input);            var tripleDES = TripleDES.Create();            var byteKey = Encoding.UTF8.GetBytes(key);            byte[] allKey = new byte[24];            Buffer.BlockCopy(byteKey, 0, allKey, 0, 16);
            Buffer.BlockCopy(byteKey, 0, allKey, 16, 8);
            tripleDES.Key = allKey;
            tripleDES.Mode = CipherMode.ECB;
            tripleDES.Padding = PaddingMode.PKCS7;
            ICryptoTransform cTransform = tripleDES.CreateEncryptor();            byte[] resultArray = cTransform.TransformFinalBlock(inputArray, 0, inputArray.Length);            return Convert.ToBase64String(resultArray, 0, resultArray.Length);
        }        public static string DesDecrypt(string input, string key)
        {            byte[] inputArray = Convert.FromBase64String(input);            var tripleDES = TripleDES.Create();            var byteKey = Encoding.UTF8.GetBytes(key);            byte[] allKey = new byte[24];            Buffer.BlockCopy(byteKey, 0, allKey, 0, 16);
            Buffer.BlockCopy(byteKey, 0, allKey, 16, 8);
            tripleDES.Key = allKey;
            tripleDES.Mode = CipherMode.ECB;
            tripleDES.Padding = PaddingMode.PKCS7;
            ICryptoTransform cTransform = tripleDES.CreateDecryptor();            byte[] resultArray = cTransform.TransformFinalBlock(inputArray, 0, inputArray.Length);            return Encoding.UTF8.GetString(resultArray);
        }

此时我们再来看下打印结果：

            var name = "Jeffcky";
            Console.WriteLine($"加密字符串为{name}");            var encryptStr = DesEncrypt(name, "sblw-3hn8-sqoy19");
            Console.WriteLine($"加密后结果为：{encryptStr}");            var decryptStr = DesDecrypt(encryptStr, "sblw-3hn8-sqoy19");
            Console.WriteLine($"解密后字符串为{decryptStr}");