はじめに

背景

今回は、OpenSSLの「共通鍵暗号」の機能、中でも鍵の取り扱いに焦点をあてます。
OpenSSLは、ライブラリとして各種言語から機能を呼び出すこともできますが、それ自身が暗号化等の機能を使えるツールセットにもなっています。

そうすると、「opensslコマンドで暗号化して作ったデータを各種言語で復号したい」といった需要が一部出てきたりするわけですが、鍵等のデータの取り扱いを意識しないと、大抵うまく行きません。

今回は、「暗号化に必要な鍵等のデータ」に焦点をあてていきたいと思います。なお、PBKDF2については取り扱いません。

検証環境

ここでは、Ubuntu18/WSL1(Win10)付属のOpenSSL 1.1.1を検証環境としていきます。

ツールによる暗号化

単純な暗号化

opensslコマンドは、サブコマンド enc により、共通鍵暗号による暗号化や復号を行うことができます。なので、単純に例えば 256bit AESで暗号化する場合、次のようなコマンドになります。

$ openssl enc -aes256 -in abc.txt -out enc.dat
enter aes-256-cbc encryption password: ******
Verifying - enter aes-256-cbc encryption password: *******
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.

この場合 -in で指定したのが平文データ、-out で指定したのが暗号文保存先です。
そして、****** で表現してますが ( 実際は表示されません )、パスワードを入力しています。
※最後の2行のメッセージは、今回取り上げないPBKDF2を使えという内容なので、以降無視し、コマンド実行例からも省略します。

ちなみに、このパスワードは -pass pass:文字列 の形式で指定することもできます。今度は逆に復号してみます。

$ openssl enc -d -aes256 -pass pass:mypassword -in enc.dat
abcdefghijklmnopqrstuvwxyz
$ cat abc.txt
abcdefghijklmnopqrstuvwxyz

今回は mypassword というパスワードを使っているという想定です。
この実行例のように、復号して元のデータが得られていることが分かります。

なお、今回は取り扱いませんが、上記のような実行例では大抵暗号データがバイナリになりますので、base64により印字可能なデータにする -a オプションというのもあります。

鍵データの正体

さて、前項のようにパスワードを指定して暗号化・復号を行う例を見ますと、「共通鍵暗号は、共通の鍵を使う…。てことは!?」とある程度の人が、「このパスワードこそ鍵なんだ!」と思うこともあるようです。
しかし、「鍵データに使えるデータ長は方式毎に決まっている」 「鍵だけではなくIV(初期化ベクトル)というデータも大抵必要になる」という2点から、「パスワード=鍵」という考えは誤りです。

実際には、opensslが与えられたパスワードから鍵・IVを生成しているというのが正解です。
ただ、パスワードをそのまま使うと同じパスワードを使用することであっさり同じ鍵・IVが生成されてしまうので、saltと呼ばれるデータも併用します。このsaltは、ツールのオプションでも指定できますが、デフォルトではツールがランダムに生成します。

saltの情報が失われると、パスワードから鍵・IVの生成ができないため、ツールの作成した暗号文に埋め込まれます。以下のコマンドでダンプすると、先頭に Salted__ とあり、その次の8バイト分のsaltを確認することができます。
※方式により長さが変わる可能性もありますが、大抵8バイトのようです。

$ xxd enc.dat
00000000: 5361 6c74 6564 5f5f 3bde ed65 e2ff 50b1  Salted__;..e..P.
00000010: 0f41 c5b9 0dda 672d 1e20 3aa1 979b e267  .A....g-. :....g
00000020: edd3 68f0 c25c 7971 b036 ef10 1b4c c18a  ..h..\yq.6...L..

では肝心の鍵・IVは? というと、パスワードを知っているという前提で、enc サブコマンドの中で -P オプションにより得ることができるようになっています。

$ openssl enc -P -d -aes256 -pass pass:mypassword -in enc.dat
salt=3BDEED65E2FF50B1
key=40F59A2C3AE6C310E4C45DE54A8041BA869865C1DF6B7D1D20D5986248580530
iv =8816B5594C603BFF66CAE73B44CD3D7D

saltに加えて、鍵(key)およびIVが16進ダンプとして出力されます。
※ダンプだとものすごく長いデータに見えますが、この場合の鍵,IVの実データは32バイト,16バイトになります。
これが、暗号化・復号で内部的に使われている鍵・IVということです。

鍵・IVの直接指定

ここまででお気付きかと思いますが、なにもパスワードを使わなくても直接に鍵・IVを指定して処理を行うことも可能です。
※パスワードの方が扱いは楽ですが。

前述の実行例でのパスワード・saltに相当する鍵・IVを使った暗号化は次の通りです。

$ openssl enc -aes256 -K 40F59A2C3AE6C310E4C45DE54A8041BA869865C1DF6B7D1D20D5986248580530 -iv 8816B5594C603BFF66CAE73B44CD3D7D -in abc.txt -out enc2.dat

つまり、-Kおよび-ivオプションで、直接値を指定してしまう、という方法になります。
パスワード指定でできたファイルと比べると、先頭のsalt部分を除いて一致していることが分かります。

$ xxd enc.dat
00000000: 5361 6c74 6564 5f5f 3bde ed65 e2ff 50b1  Salted__;..e..P.
00000010: 0f41 c5b9 0dda 672d 1e20 3aa1 979b e267  .A....g-. :....g
00000020: edd3 68f0 c25c 7971 b036 ef10 1b4c c18a  ..h..\yq.6...L..
$ xxd enc2.dat
00000000: 0f41 c5b9 0dda 672d 1e20 3aa1 979b e267  .A....g-. :....g
00000010: edd3 68f0 c25c 7971 b036 ef10 1b4c c18a  ..h..\yq.6...L..

復号する時も、同様に -K,-iv の指定で処理できます。ただ、先頭のsaltがあると却って邪魔になるので、パスワードベースで作成した暗号データの場合には、その分を取り除く必要があります。

$ openssl enc -d -aes256 -K 40F59A2C3AE6C310E4C45DE54A8041BA869865C1DF6B7D1D20D5986248580530 -iv 8816B5594C603BFF66CAE73B44CD3D7D -in enc2.dat
abcdefghijklmnopqrstuvwxyz
$ tail -c +17 enc.dat | openssl enc -d -aes256 -K 40F59A2C3AE6C310E4C45DE54A8041BA869865C1DF6B7D1D20D5986248580530 -iv 8816B5594C603BFF66CAE73B44CD3D7D
abcdefghijklmnopqrstuvwxyz

ツール以外での処理を見据えて

パスワード→鍵・IVの法則の必要性

ここまでで、パスワードは鍵そのものではなく、処理に実際に使う鍵・IVの2種類のデータがあることを見てきたわけですが、opensslコマンドを使うだけなら別に気にする必要はありません。

しかし、暗号化したデータを各種プログラミング言語から扱いたいと言うような場合、OpenSSLライブラリを使ったとしても、鍵・IVの存在を意識しなければ処理できません。

例えば、RubyのOpenSSLライブラリの場合、以下のように key, iv が分かっている前提で復号処理を行うことになっていますし、

# 復号化器を作成する
dec = OpenSSL::Cipher.new("AES-256-CBC")
dec.decrypt
# 鍵とIVを設定する
dec.key = key
dec.iv = iv

PHPのOpenSSL関数の場合も、事情は同じです。
※$passphraseとなっていて紛らわしいのですが、これはパスワードではなく ( バイナリデータとしての ) 鍵を意味します。

  openssl_decrypt(
    string $data,
    string $cipher_algo,
    string $passphrase,
    int $options = 0,
    string $iv = "",
    string $tag = "",
    string $aad = ""
): string|false

パスワードからの鍵・IVの生成

さて、では肝心のパスワードからの鍵・IVの生成ですが、これはOpenSSLの内部ルーチンEVP_BytesToKeyに対して、count引数を1とした処理を行っていることが分かっています。

このルーチンは、指定されたハッシュ関数を用いてデータ変換を行い、鍵等に使えるデータを作り出していくものです。以下、処理の概略を示します。

• パスワードとsalt(バイナリデータ)を連結し、そのハッシュ値 H0 を計算する。
• H0とパスワードとsaltを連結し、そのハッシュ値 H1 を計算する。
• H1と…と言うように、必要なデータが揃うまでハッシュ値計算を繰り返す。
  ※計算したハッシュ値のデータ量合計が、鍵・IVのデータ量を賄えれば十分
• H0, H1, … を連結したデータの内、先頭データを鍵として切り出す。
• 残りの先頭データをIVとして切り出す。

このハッシュ関数はツールのオプション -md によって指定できます。デフォルトは sha256 であり、ハッシュ値は32バイト、256bit AESの鍵32バイトとIV 16バイトを賄うには、2回のハッシュ計算で十分です。

この計算で鍵・IVが生成されていることは、以下のようなコマンドで確認することができます。

$ ( echo -n mypassword; xxd -p -r <<< 3BDEED65E2FF50B1 ) | openssl dgst -sha256
(stdin)= 40f59a2c3ae6c310e4c45de54a8041ba869865c1df6b7d1d20d5986248580530
$ (
>   (  echo -n mypassword; xxd -p -r <<< 3BDEED65E2FF50B1 ) | openssl dgst -sha256 -binary
>   echo -n mypassword; xxd -p -r <<< 3BDEED65E2FF50B1
> ) | openssl dgst -sha256
(stdin)= 8816b5594c603bff66cae73b44cd3d7dcbe2c368a284a9264ac689cebcad6bb5
$ openssl enc -P -d -aes256 -pass pass:mypassword -in enc.dat
salt=3BDEED65E2FF50B1
key=40F59A2C3AE6C310E4C45DE54A8041BA869865C1DF6B7D1D20D5986248580530
iv =8816B5594C603BFF66CAE73B44CD3D7D

この例の16進ダンプ出力のように、1回目のハッシュ値計算の値がそのまま key に、2回目のハッシュ値計算の先頭16バイト ( 16進ダンプで32文字分 ) が iv に一致していることが分かります。
なお、salt の値も16進ダンプで得られている状態なので、xxd コマンドでバイナリに変換して使っています。

PHPでの実装例

最後におまけして、PHPでの実装例です。
暗号データの先頭からsaltを読み取り、パスワードを併せて鍵・IVを生成、しかる後にsalt部分を除いた暗号データを、鍵・IVを指定して復号しています。
※Teratailでの回答で示したコードの焼き直しです。

<?php
  $filename="enc.dat";
  $pass="mypassword";
  $fh=fopen($filename,"r");
  $enc=fread($fh,filesize($filename));
  $salt=substr($enc,8,8);
  $key=openssl_digest($pass.$salt,"sha256",true);
  $iv=substr(openssl_digest($key.$pass.$salt,"sha256",true),0,16);
  echo openssl_decrypt(substr($enc,16),"aes256",$key,OPENSSL_RAW_DATA,$iv);
?>

終わりに

このパスワードから鍵・IVを生成する部分、方式としては弱いものなので、本来はPBKDF2を使うことが推奨です。ただそのやり方にも応用が利くと思いますので(多分)、備忘録としてデフォルトの方式をまとめました。
ちょっとした小ネタですが、お役に立てば幸いです。