Q&A
C#で確認できないですか?
C#でファイルの内容をAES256暗号化し、別のファイルに書き出すツールを作っています。
暗号化自体は正常に終了しているのですが、これが「AES256/CBC」できちんと暗号化されているか=正解かがわかりません。
OpenSSLなどがあればコマンドラインから出来そうですが、あいにくJAVAもPHPも入れられません。
どこかにブラウザからか、Windowsツールで「キー、IVが指定出来てAES256/CBCのファイル暗号化」が出来るツールはないでしょうか。
ちなみにコードは以下の感じです。
// ファイルサイズ取得 FileInfo file = new FileInfo(files[i]); long size = file.Length; // 読み込み領域メモリ確保 byte[] readBuff = new byte[size]; // 暗号化領域メモリ確保 byte[] angoBuff = new byte[size]; // ファイル読み込み //ファイルを開く System.IO.FileStream fsR = new System.IO.FileStream( files[i], System.IO.FileMode.Open, System.IO.FileAccess.Read); //ファイルの内容をすべて読み込む fsR.Read(readBuff, 0, readBuff.Length); //閉じる fsR.Close(); // 暗号化 AesManaged Aes = new AesManaged(); // 暗号化用設定 Aes.BlockSize = 128; // 128bit Aes.KeySize = 128; // 128bit Aes.Mode = CipherMode.CBC; Aes.Padding = PaddingMode.PKCS7; Aes.Key = System.Text.Encoding.ASCII.GetBytes(@"1234567890ABCDEF"); Aes.IV = System.Text.Encoding.ASCII.GetBytes(@"FEDCBA0987654321"); // 暗号化 ICryptoTransform encryptor = Aes.CreateEncryptor(Aes.Key, Aes.IV); // 暗号化した情報を暗号化領域に書き込む angoBuff = encryptor.TransformFinalBlock(readBuff, 0, (int)size); // 書き込みファイル名生成 // ファイル名だけ切り出し String FileName = System.IO.Path.GetFileName(files[i]); // 書き込みフルパス名組み立て String WriteFullPath = System.IO.Path.Combine(Dest_TextBox.Text, FileName); // ファイル書き込み System.IO.FileStream fsW = new System.IO.FileStream( WriteFullPath, System.IO.FileMode.Create, System.IO.FileAccess.Write); //バイト型配列の内容をすべて書き込む fsW.Write(angoBuff, 0, (int)angoBuff.Length); //閉じる fsW.Close();
復号化のコードも作ってはいるのですが、その元になるデータが正しいか確認したい次第でして。
質問内容からはなにも調べてない試してない印象しかとれないので、きちんと追記願います。
申し訳ありません。
復号化のコードは別の人間が作っているので、そのテスト用に提供するデータがきちんと出来ているか確認したかったのです。
質問は編集できますので適宜調整してください
特に前提や背景が抜けていると本来の目的にそったアドバイスは得られません。
回答者にとっては質問本文に書いてあることが全てです。各回答に散っているのを拾い集めるのもそれなりに負荷が高いです
はい。申し訳ありません。
質問は編集できますので適宜調整してください
回答4件
0
一番確実なのはOpenSSL(ライブラリではなくコマンド)のプリコンパイル済みを導入する
次点が、msys2/cygwinにてopensslを導入する になるかと思います。
変わり種が、Git for WindowsのGit bashからopensslを利用する事です。
opensslコマンドについては、調べれば使い方がでてきます。
gitも導入できないのであればブラウザからweb crypt apiを使うことになります。
追記
IPAのATR-01-Bによると、テストデータにはNISTのAESAVSに記載されてるテストベクタを用いる。
となっています。
投稿2019/11/26 03:50
編集2019/11/26 07:33
総合スコア15149
回答ありがとうございます。
セキュリティなどの都合上、新たにPHPなどを入れるのが出来ないものでして。
PHP入れろと言ったつもりはありません。
Git for Windowsくらい入ってないんですか?と言っているつもりです。
「git」とは何だろうと調べてみたらバージョン管理ツールなんですね。
残念ながら入っていないです。
リファレンスとして、自作ではない、既知の、信頼のおける実績のあるツールも使って復号化を検証すべきだと考えます。その意味でも高評価させていただきました。
そりゃ難儀な環境ですね。
そうなると仕様に厳密にやるとSP800-38A( https://csrc.nist.gov/publications/detail/sp/800-38a/final )
に載っているテストデータを用いる事になりそうです
参考にさせていただきます。
ありがとうございます。
0
復号化するものも作って、正常に復号できれば暗号化出来ていたことになるのでは?
投稿2019/11/26 03:34
総合スコア2536
ありがとうございます。
復号化のコードも作ってはいるのですが、その元になるデータが正しいか確認したい次第でして。
むしろ最も適切な確認方法ですよ。
他言語やツールを確認したところで100%の正当性を担保できるものではありません
いいえ。最悪の確認方法です。
実装時のミスで例えば鍵の生成方法や暗号化モードを間違えていたりした場合
同じミスを復号時にも行う可能性があります。
asmさん
なるほど。たしかにそうですね。
ただ、その復号化のコード作ってるならなぜ動かさないんだろう?
質問するときに作ってることすら出さずに、その結果もださないんだろう?
という疑問はあります。
何をテストしたいか次第だと思いますよ。
ラッパーのテストなら言語(というかラッパー)変えてテストすればいいけど、OpenSSL のテストなら、そもそもラッパーを使用したテストしたところで意味ないんで。
回答ありがとうございます。
復号化は他の人が別の言語で作っていまして、そのテスト用に確実なデータを提供したいのです。
自作部分はそれはそれで存在しても良いと思いますが、もし暗号化/復号化のどちらにも不具合があった場合に、検証作業においてどう切り分けるんでしょうか。
切り分けの意味もあって、正確な暗号化後が取れるサイトやツールが欲しかったのです。
サイトやツールで得られた結果と同じなら自作暗号化は正常動作してますし、違ってるなら自分が間違っていると考えられるからです。
0
ベストアンサー
異なる言語を使用した検証では、オプションパラメータを確認したくなるはずなので、自前で用意したほうが良いと思います。
heroku あたりに適当に環境を作ってみては?
コード残す必要がないのであれば、paiza.io でも良いかも。
投稿2019/11/26 03:16
退会済みユーザー
総合スコア0
「paiza.io」こんなものがあったのですね。
$method = 'AES-256-CBC';
$key = '1234567890ABCDEF';
$iv = 'FEDCBA0987654321';
$data = '20180521';
$encrypted = openssl_encrypt($data, $method, $key, 0, $iv);
printf("%s", $encrypted);
こんな感じで動かしてみましたら、自作コードの結果とは全然違う文字列が出ました。orz
コードを見直します・・・
ありがとうございました。
C# の仕様がよくわかっていませんが、php の options を調整してみてください。
元コードだと Aes.KeySize = 128; だから AES-128-CBC になってますよ?
それと AES-256-CBC の結果を比較したら、そりゃ全然違うでしょうね。
おぉw確かに。
見てませんでした。指摘ありがとう。
どっちが正しいんだろ。
なるほど。
Aes.KeySize = 256;
でないと、AES256/CBCでは処理されないということですか。
ありがとうごじます。
0
質問するより検索した方が早いのでは?
ググったら、こんなんでましたけど。
短い文で、複合して検証してみては、どうでしょうか?
結果が違う場合、元のコードが悪いのかツールが悪いのかは確認できないですが・・・
投稿2019/11/26 03:02
総合スコア4826
あなたの回答
tips
プレビュー
