PHP实现AES-ECB文件解密：Python到PHP的移植指南

本文详细指导如何将python中基于pycryptodome库的aes-ecb文件解密逻辑移植到php环境。重点解析了密钥派生、分块读取与写入，并深入探讨了跨语言实现中最常见的陷阱——加密填充模式的差异。通过对比python的`unpad`机制与php `openssl_decrypt`函数的`openssl_zero_padding`标志行为，提供了精确的php解密实现方案，确保文件能正确解密，避免“wrong final block length”等错误。

在软件开发中，跨语言实现相同的加密解密逻辑是常见需求。本文将以一个具体的案例为例，探讨如何将Python中使用PyCryptodome库实现的AES-ECB文件解密功能，准确地移植到PHP环境，并着重解决在移植过程中可能遇到的填充模式（padding）兼容性问题。

1. 理解Python解密逻辑

首先，我们来分析原始Python代码中的核心解密逻辑。Python代码片段展示了两个关键部分：密钥派生和文件解密过程。

1.1 密钥派生 (getv4key)

Python的getv4key函数使用MD5哈希算法从一个字符串deckey派生出AES密钥。

import hashlib

def getv4key(version, model, region):
    # ... (省略获取 deckey 的逻辑)
    deckey = "AU77D7K3SAU/D3UU" # 示例值
    return hashlib.md5(deckey.encode()).digest()

这里deckey.encode()将字符串转换为字节串，然后hashlib.md5().digest()计算其MD5哈希值并返回原始字节形式的摘要。

立即学习“PHP免费学习笔记（深入）”；

1.2 文件解密 (decrypt_progress)

decrypt_progress函数负责分块读取加密文件，使用AES-ECB模式解密，并将解密后的数据写入输出文件。

from Cryptodome.Cipher import AES
# from Cryptodome.Util.Padding import unpad # 实际使用的是这个 unpad

def decrypt_progress(inf, outf, key, length):
    cipher = AES.new(key, AES.MODE_ECB)
    if length % 16 != 0:
        raise Exception("invalid input block size")

    chunks = length // 4096 + 1
    for i in range(chunks):
        block = inf.read(4096)
        if not block:
            break
        decblock = cipher.decrypt(block)

        # 注意这里的填充处理：只有最后一个块才进行 unpad
        if i == chunks - 1:
            outf.write(unpad(decblock)) # 使用 PKCS#7 或其他标准填充方式
        else:
            outf.write(decblock)

这段代码的关键点在于对填充的处理：

• 它使用AES.MODE_ECB模式，该模式不使用初始化向量（IV）。
• 数据是按4096字节的块读取和解密的。
• unpad(decblock)函数仅在处理最后一个数据块时被调用。这意味着对于中间的数据块，解密后直接写入，没有进行去填充操作。这暗示了加密时，中间块可能没有进行填充，或者如果进行了填充，解密后也没有去除。而最后一个块由于可能包含填充字节，需要在解密后进行去填充。通常，unpad函数会移除PKCS#7或其他标准填充。

2. PHP中的密钥派生

将Python的MD5密钥派生逻辑移植到PHP非常直接。

Python: hashlib.md5(deckey.encode()).digest() PHP: hash('md5', $deckey, true)

hash('md5', $deckey, true)函数中的第三个参数true表示返回原始二进制格式的哈希值，这与Python的digest()方法行为一致。

<?php
$deckey = "AU77D7K3SAU/D3UU"; // 示例值，实际应通过其他逻辑获取
$key = hash('md5', $deckey, true);
// $key 现在是一个16字节的二进制字符串，可直接用作AES密钥
?>

3. PHP文件解密实现与填充模式挑战

在PHP中，我们通常使用openssl_decrypt函数进行AES解密。然而，与Python的PyCryptodome库在填充模式上的处理差异是移植过程中最常见的陷阱。

3.1 初始PHP解密尝试及遇到的问题

根据Python的分块解密逻辑，一个初步的PHP实现可能如下：

Amazon Nova

亚马逊云科技（AWS）推出的一系列生成式AI基础模型

下载

<?php
// ... 密钥派生 ...

$sourceFile = 'file.zip.enc4';
$destFile = 'file.zip';
$chunkSize = 4096;

$sourceHandle = fopen($sourceFile, 'rb');
$destHandle = fopen($destFile, 'wb');

while (!feof($sourceHandle)) {
    $chunk = fread($sourceHandle, $chunkSize); // 注意这里读取的是 chunkSize
    if (empty($chunk)) {
        break;
    }
    // 尝试解密，可能遇到问题
    $decryptedChunk = openssl_decrypt($chunk, 'aes-128-ecb', $key, OPENSSL_RAW_DATA | OPENSSL_ZERO_PADDING);
    // var_dump(openssl_error_string()); // 用于调试错误
    fwrite($destHandle, $decryptedChunk);
}

fclose($sourceHandle);
fclose($destHandle);
?>

当使用OPENSSL_RAW_DATA | OPENSSL_ZERO_PADDING进行解密时，PHP可能会报告类似error:1C80006B:Provider routines::wrong final block length的错误。这个错误通常意味着openssl_decrypt在尝试去填充时，发现数据块的长度或内容不符合预期的填充格式。

3.2 核心问题：填充模式的差异

Python的PyCryptodome库在AES.MODE_ECB模式下，默认并不对每个块进行自动填充和去填充。它的unpad函数是显式调用的，并且只对最后一个块生效。这意味着：

• 加密时，只有最后一个块可能被填充（例如PKCS#7）。
• 解密时，中间块不需要去填充，而最后一个块需要根据其填充方式进行去填充。

PHP的openssl_decrypt函数行为则有所不同：

• 默认情况下，openssl_decrypt会尝试对数据进行PKCS#7填充的去填充操作。
• OPENSSL_ZERO_PADDING标志是禁用默认的PKCS#7填充，而不是启用零填充。当此标志被设置时，openssl_decrypt会假定输入数据没有填充，或者填充已经由调用者处理。如果数据块长度不是AES块大小（16字节）的整数倍，或者在禁用填充的情况下传入了带有填充的数据，就会导致“wrong final block length”错误。

因此，为了模拟Python的行为，我们需要在PHP中实现条件性的填充处理：

• 对于中间数据块（非文件末尾的块），我们知道它们在Python中没有经过unpad处理，因此PHP也应该禁用填充去处理（即使用OPENSSL_ZERO_PADDING）。
• 对于最后一个数据块，Python代码调用了unpad，这意味着它期望一个带有标准填充（如PKCS#7）的块。因此，PHP在解密最后一个块时，应该允许openssl_decrypt执行默认的PKCS#7去填充操作（即不设置OPENSSL_ZERO_PADDING）。

3.3 修正后的PHP解密实现

为了正确处理填充，我们需要跟踪已读取的字节数，并与文件总大小进行比较，以判断当前处理的块是否是最后一个块。

<?php
$sourceFile = 'file.zip.enc4';
$destFile = 'file.zip';

// 密钥派生
$deckey = "AU77D7K3SAU/D3UU"; // 替换为实际的 deckey
$key = hash('md5', $deckey, true);

$chunkSize = 4096; // 每次读取的块大小
$fileSize = filesize($sourceFile); // 获取加密文件总大小

$sourceHandle = fopen($sourceFile, 'rb');
$destHandle = fopen($destFile, 'wb');

$totalBytesRead = 0; // 记录已读取的总字节数

while (!feof($sourceHandle)) {
    $chunk = fread($sourceHandle, $chunkSize);
    if (empty($chunk)) {
        break;
    }

    $currentChunkSize = strlen($chunk);
    $totalBytesRead += $currentChunkSize;

    // 判断是否是最后一个块
    // 如果已读取的总字节数小于文件总大小，说明当前块不是最后一个块
    // 此时应禁用填充去处理 (OPENSSL_ZERO_PADDING)
    // 否则，是最后一个块，允许 openssl_decrypt 进行默认的 PKCS#7 去填充
    $paddingFlag = ($totalBytesRead < $fileSize) ? OPENSSL_ZERO_PADDING : 0;

    $decryptedChunk = openssl_decrypt($chunk, 'aes-128-ecb', $key, OPENSSL_RAW_DATA | $paddingFlag);

    // 检查解密是否成功，如果失败 openssl_decrypt 返回 false
    if ($decryptedChunk === false) {
        // 可以根据需要添加错误处理或日志记录
        error_log("解密失败: " . openssl_error_string());
        break;
    }

    fwrite($destHandle, $decryptedChunk);
}

fclose($sourceHandle);
fclose($destHandle);

echo "文件解密完成: " . $destFile . "\n";
?>

代码解释：

• $fileSize = filesize($sourceFile);：获取加密文件的总字节数，用于判断当前块是否为最后一个。
• $totalBytesRead：累加每次读取的块的实际字节数。
• $paddingFlag = ($totalBytesRead < $fileSize) ? OPENSSL_ZERO_PADDING : 0;：这是解决问题的关键。
  • 当$totalBytesRead < $fileSize时，表示当前读取的块不是文件的最后一个块。根据Python的逻辑，中间块不进行unpad，因此PHP也应该禁用默认的PKCS#7去填充，通过设置OPENSSL_ZERO_PADDING来实现。
  • 当$totalBytesRead >= $fileSize时，表示当前读取的块是文件的最后一个块（或者包含文件末尾）。此时，Python代码调用了unpad，因此PHP应该允许openssl_decrypt执行其默认的PKCS#7去填充操作。0表示不设置任何额外的填充标志，即使用openssl_decrypt的默认填充行为。
• openssl_decrypt的模式选择aes-128-ecb与Python的AES.new(key, AES.MODE_ECB)相对应，OPENSSL_RAW_DATA确保输入输出都是原始二进制数据。

4. 总结与注意事项

通过上述修正后的PHP代码，我们可以成功地将Python的AES-ECB文件解密逻辑移植到PHP。这个案例强调了在进行跨语言加密解密移植时，深入理解各语言库对加密填充模式的具体处理方式至关重要。

关键注意事项：

1. 密钥派生一致性： 确保MD5哈希结果是原始二进制形式。
2. 分块处理： 保持与原始Python代码相同的分块读取和解密逻辑。
3. 填充模式： 这是最容易出错的地方。
   • Python PyCryptodome的unpad是显式调用且仅作用于最后一个块。
   • PHP openssl_decrypt的OPENSSL_ZERO_PADDING是禁用默认PKCS#7填充。
   • 务必根据文件总大小和已读取字节数，条件性地启用或禁用PHP的填充处理。

正确理解和处理加密填充模式，是确保跨语言加密解密互操作性的基石。在实际项目中，务必进行充分的测试，以验证解密结果的完整性和正确性。