我想在 ruby 应用程序中加密一些数据,然后在 nodejs 应用程序中对其进行解码。我一直在努力让它工作,现在我只是想用两种语言加密相同的数据以获得相同的结果,但我似乎做不到。
//js
var crypto = require('crypto');
var key = crypto.createHash('sha1').update('key').digest('hex');
console.log(key); // a62f2225bf70bfaccbc7f1ef2a397836717377de
var encrypted = "";
var cipher = crypto.createCipher('bf-cbc', key);
encrypted += cipher.update('text');
encrypted += cipher.final('hex');
console.log(encrypted); //outputs 4eafd5542875bd3c
所以看起来我从编码中得到了一个十六进制字符串。
#ruby
require 'openssl'
require 'digest/sha1'
c = OpenSSL::Cipher::Cipher.new("bf-cbc")
c.encrypt
# your pass is what is used to encrypt/decrypt
c.key = key = Digest::SHA1.hexdigest("key")
p key # a62f2225bf70bfaccbc7f1ef2a397836717377de
e = c.update("text")
e << c.final
p e # 皋?;??
是否存在我遗漏的某种编码问题。我尝试对 e 进行 base64 解码,但这并没有产生与 Node 应用程序相同的结果。有什么指点吗?
更新:所以这就像 friend 一样亲密,我可以获得:https://gist.github.com/a880ea13d3b65a21a99d .哎呀,我只想用 ruby 加密一些东西,然后在 node 中解密。
UPDATE2:好吧,这个问题中的代码让我明白了很多:https://github.com/joyent/node/issues/1395
最佳答案
有几件微妙的事情会导致失败。最重要的一个 - 您没有在代码中指定 IV,因此将为您生成一个随机值。您会注意到,您甚至无法通过这种方式在相同的编程语言中解密您的密文。
因此您需要为这两个实现提供显式 IV。但在我向您展示代码之前,有一些建议:
key 生成:
Blowfish 在 64 位 block 上运行,其 key 大小各不相同,但 OpenSSL(目前支持 Ruby 和 node.js 的密码实现)默认使用 128 位,即 16 字节。
因此您的 key 违反了两个原则 - 第一个:它太长了。它是 SHA-1 散列的十六进制表示,它是 20 字节 * 2 = 40 字节而不是 16 字节。大多数时候这很好,因为实现会适本地 chop 值,但这是你不应该的 取决于。
第二个错误,更严重的是,你使用十六进制表示而不是原始字节:大的安全问题!十六进制字符根本不是随机的,因此实际上您将输入的熵减少到一半的长度(因为底层字节是随机的)。
生成随 secret 钥的安全方法是使用 OpenSSL::Random
key = OpenSSL::Random.random_bytes(cipher_key_len)
第三个错误是将 key 硬编码在源代码中。这是个坏主意。您至少应该做的是将它存储在文件系统的其他地方,那里的访问受到严格限制。另见 my answer另一个问题。 key 应带外存储,并且只能在应用程序中动态加载。
密码:
河豚变老了。它仍然被认为是完整的,因为暴力破解是破解它的唯一方法。但是 2^64 的搜索空间对于足智多谋的攻击者来说并非遥不可及。所以你确实应该继续使用 AES。
填充:
默认情况下,OpenSSL 填充使用 PKCS5Padding(也称为 PKCS7Padding)。 Ruby 从中获利,我敢打赌 node.js 也会利用它 - 所以你应该注意这一点。
现在进入工作解决方案。我们需要生成一个 IV,Blowfish 要求它是 64 位 - 8 字节。您将需要 rbytes 来获取 Node 中的安全随机数。 IV 可能在您的来源中进行了硬编码(它是公共(public)信息,没有安全影响) - 但双方必须相同。您应该预生成一个值并将其用于 node.js 和 Ruby。
/*node.js*/
var rbytes = require('rbytes');
var iv = rbytes.randomBytes(8);
/*see advice above - this should be out-of-band*/
var key = rbytes.randomBytes(16);
var encrypted = "";
var cipher = crypto.createCipheriv('bf-cbc', key, iv);
encrypted += cipher.update('text');
encrypted += cipher.final('hex');
现在是 Ruby 部分:
require 'openssl'
c = OpenSSL::Cipher::Cipher.new("bf-cbc")
c.encrypt
# should be out-of-band again
c.key = OpenSSL::Random.random_bytes(16)
# may be public but has to be the same for Ruby and node
iv = OpenSSL::Random.random_bytes(8)
c.iv = iv
e = c.update("text")
e << c.final
puts e.unpack('H*')[0]
关于javascript - 使用 Node 解密的ruby加密数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7192401/
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
我有一个字符串input="maybe(thisis|thatwas)some((nice|ugly)(day|night)|(strange(weather|time)))"Ruby中解析该字符串的最佳方法是什么?我的意思是脚本应该能够像这样构建句子:maybethisissomeuglynightmaybethatwassomenicenightmaybethiswassomestrangetime等等,你明白了......我应该一个字符一个字符地读取字符串并构建一个带有堆栈的状态机来存储括号值以供以后计算,还是有更好的方法?也许为此目的准备了一个开箱即用的库?
我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看rubyzip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
很好奇,就使用rubyonrails自动化单元测试而言,你们正在做什么?您是否创建了一个脚本来在cron中运行rake作业并将结果邮寄给您?git中的预提交Hook?只是手动调用?我完全理解测试,但想知道在错误发生之前捕获错误的最佳实践是什么。让我们理所当然地认为测试本身是完美无缺的,并且可以正常工作。下一步是什么以确保他们在正确的时间将可能有害的结果传达给您? 最佳答案 不确定您到底想听什么,但是有几个级别的自动代码库控制:在处理某项功能时,您可以使用类似autotest的内容获得关于哪些有效,哪些无效的即时反馈。要确保您的提
这似乎应该有一个直截了当的答案,但在Google上花了很多时间,所以我找不到它。这可能是缺少正确关键字的情况。在我的RoR应用程序中,我有几个模型共享一种特定类型的字符串属性,该属性具有特殊验证和其他功能。我能想到的最接近的类似示例是表示URL的字符串。这会导致模型中出现大量重复(甚至单元测试中会出现更多重复),但我不确定如何让它更DRY。我能想到几个可能的方向...按照“validates_url_format_of”插件,但这只会让验证干给这个特殊的字符串它自己的模型,但这看起来很像重溶液为这个特殊的字符串创建一个ruby类,但是我如何得到ActiveRecord关联这个类模型
假设我做了一个模块如下:m=Module.newdoclassCendend三个问题:除了对m的引用之外,还有什么方法可以访问C和m中的其他内容?我可以在创建匿名模块后为其命名吗(就像我输入“module...”一样)?如何在使用完匿名模块后将其删除,使其定义的常量不再存在? 最佳答案 三个答案:是的,使用ObjectSpace.此代码使c引用你的类(class)C不引用m:c=nilObjectSpace.each_object{|obj|c=objif(Class===objandobj.name=~/::C$/)}当然这取决于
我试图在一个项目中使用rake,如果我把所有东西都放到Rakefile中,它会很大并且很难读取/找到东西,所以我试着将每个命名空间放在lib/rake中它自己的文件中,我添加了这个到我的rake文件的顶部:Dir['#{File.dirname(__FILE__)}/lib/rake/*.rake'].map{|f|requiref}它加载文件没问题,但没有任务。我现在只有一个.rake文件作为测试,名为“servers.rake”,它看起来像这样:namespace:serverdotask:testdoputs"test"endend所以当我运行rakeserver:testid时
出于纯粹的兴趣,我很好奇如何按顺序创建PI,而不是在过程结果之后生成数字,而是让数字在过程本身生成时显示。如果是这种情况,那么数字可以自行产生,我可以对以前看到的数字实现垃圾收集,从而创建一个无限系列。结果只是在Pi系列之后每秒生成一个数字。这是我通过互联网筛选的结果:这是流行的计算机友好算法,类机器算法:defarccot(x,unity)xpow=unity/xn=1sign=1sum=0loopdoterm=xpow/nbreakifterm==0sum+=sign*(xpow/n)xpow/=x*xn+=2sign=-signendsumenddefcalc_pi(digits