如何解决OpenSSL::Cipher::Cipher#encrypt的弃用警告

Question

我刚刚将我的Mac升级到Snow Leopard，并启动并运行了我的Rails环境。与我之前安装的唯一不同之处在于，我现在运行的是ruby 1.8.7 (2008-08-11 patchlevel 72) [universal-darwin10.0] (Snow Leopard默认设置)，而不是1.8.6。

当我运行我的代码时，我现在看到了与OpenSSL相关的弃用警告：

warning: argumtents for OpenSSL::Cipher::Cipher#encrypt and OpenSSL::Cipher::Cipher#decrypt were deprecated; use OpenSSL::Cipher::Cipher#pkcs5_keyivgen to derive key and IV

我的代码示例在第4行导致了这些警告(它解码了一个加密的字符串)：

1. def decrypt(data)
2.  encryptor = OpenSSL::Cipher::Cipher.new('DES-EDE3-CBC')
3.  key = "my key"
4.  encryptor.decrypt(key)
5.  text = encryptor.update(data)
6.  text << encryptor.final
7. end

我正在努力理解如何解决这个问题，而谷歌并没有真正提供帮助。我是否应该尝试降级到Ruby 1.8.6 (如果是，最好的方法是什么？)，是否应该尝试隐藏警告(将我的头埋在沙子里？)或者我可以在代码中应用一个简单的修复方法？

Answer 1

由于Ruby中的隐式类型转换，较旧的Ruby允许人们以完全错误的方式使用PBE (基于密码的加密)。较新的版本修复了这一点，因此警告是一件好事。

您的示例正好说明了问题所在。Triple-DES需要24字节的密钥材料(包括奇偶校验)，但您只提供了6字节。您的密钥材料将重复，以弥补赤字，这导致较不安全的密钥。

正确的方法是使用PKCS5生成密钥和IV (初始向量)，这使用了复杂的散列和迭代来使密钥更加安全。

Ruby提供了以下示例代码。pass是您的密钥，您可以对salt使用任何硬编码值。

puts "--Encrypting--"
des = OpenSSL::Cipher::Cipher.new(alg)
des.pkcs5_keyivgen(pass, salt)
des.encrypt
cipher =  des.update(text)
cipher << des.final
puts %(encrypted text: #{cipher.inspect})
puts

puts "--Decrypting--"
des = OpenSSL::Cipher::Cipher.new(alg)
des.pkcs5_keyivgen(pass, salt)
des.decrypt
out =  des.update(cipher)
out << des.final
puts %(decrypted text: "#{out}")
puts

Answer 2

ZZ Coder很接近，但没有雪茄。事实上，你永远不应该在#decrypt或#encrypt之前调用Cipher#pkcs5_keyivgen。在实践中，它通常可以很好地加密，但解密将经常失败。所以代码应该是：

puts "--Encrypting--"
des = OpenSSL::Cipher::Cipher.new(alg)
des.encrypt
des.pkcs5_keyivgen(pass, salt)
cipher =  des.update(text)
cipher << des.final
puts %(encrypted text: #{cipher.inspect})
puts

和

puts "--Decrypting--"
des = OpenSSL::Cipher::Cipher.new(alg)
des.decrypt
des.pkcs5_keyivgen(pass, salt)  
out =  des.update(cipher)
out << des.final
puts %(decrypted text: "#{out}")
puts