Entschlüsseln von Bildern mittels JavaScript im browser

Ich habe eine web-basierte Anwendung, die erfordert, dass die Bilder verschlüsselt werden, bevor Sie zum server gesendet, entschlüsselt und nach in den browser geladen vom server, wenn der richtige key war ein user.

[Edit: Das Ziel ist, dass das ursprüngliche Bild und die Schlüssel verlassen nie den computer des Benutzers so, dass er/Sie nicht erforderlich, um Vertrauen in die server.]

Mein Erster Ansatz war, der zum verschlüsseln der Bild-Pixel mit AES und lassen Sie die image-Header unberührt. Ich hatte zum speichern der verschlüsselten Bild im verlustfreien format wie png. Verlustbehaftetes format wie jpg ändern würde, die AES-verschlüsselten bits und machen Sie unmöglich entschlüsselt werden.

Nun die verschlüsselten Bilder können in den browser geladen, mit einem erwarteten vollständig verschlüsselt Aussehen. Hier habe ich ein JavaScript-code zu Lesen, in den Bilddaten als RGB-Pixel mit Image.canvas.getContext("2d").getImageData(), erhalten Sie den Schlüssel bilden die Anwender, entschlüsseln Sie die Pixel unter Verwendung von AES, Neuzeichnen des canvas-Bereichs und zeigen Sie das entschlüsselte Bild, um den Benutzer.

Dieser Ansatz funktioniert, leidet aber zwei große Probleme.

Das erste problem ist, dass das speichern der komplett verschlüsselt Bild im verlustfreien format nimmt eine Menge von bytes, 3 bytes pro pixel.

Das zweite problem ist, dass die Entschlüsselung von großen Bildern im browser dauert eine lange Zeit.

Dies ruft der zweite Ansatz, der zur Verschlüsselung der Bild-Header anstelle der tatsächlichen Pixel. Aber ich habe nicht gefunden, einen Weg, um Lesen in der Bild-Header in JavaScript, um Sie zu entschlüsseln. Die Leinwand gibt nur die bereits dekomprimierten Pixeldaten. In der Tat, der browser zeigt das Bild mit veränderten header als ungültig.

Vorschläge zur Verbesserung der den ersten Ansatz zu machen, oder der zweite Ansatz möglich, oder bietet andere Ansätze sind sehr geschätzt.

Sorry für den langen post.

  • "erfordert, dass die Bilder verschlüsselt werden, bevor Sie zum server gesendet" Frage... wie bekommt man die Bilddaten vor dem senden an den server?
  • "Host-proof-hosting" ist der Begriff, den du suchst.
  • Genau, danke.
InformationsquelleAutor timeon | 2010-10-14
  1. 3

    Verschlüsselt und Base64-Kodierung der Bild-roh-Daten, wenn es gespeichert wird. (Sie können nur tun, die auf einem web-browser, der die HTML5 File API, es sei denn, Sie verwenden ein Java-applet). Wenn das Bild heruntergeladen ist, unencode es, zu entschlüsseln, und erstellen Sie eine data-URI für den browser zu verwenden (oder verwende ein Java-applet, um das Bild anzuzeigen).

    Kann man allerdings nicht, entfernen Sie die Notwendigkeit für die Nutzer Vertrauen in den server, da der server senden kann, was JavaScript-code, der es will, an den client senden können Sie eine Kopie des Bildes an, wenn jemand es entschlüsselt wird. Dies ist ein Anliegen, einige haben mit einer verschlüsselten e-mail-Dienst Hushmail–, dass die Regierung zwingen könnte, die Firma zu liefern, die ein schädliches Java-applet. Dies ist nicht eine Unmögliche Szenario; Telekommunikationsunternehmen Etisalat versucht abzufangen, die BlackBerry-Kommunikation durch die Installation von spyware auf dem Gerät aus (http://news.bbc.co.uk/2/hi/technology/8161190.stm).

    Wenn Ihre web site ist eine von der öffentlichkeit verwendet werden, haben Sie keine Kontrolle über Ihre Benutzer, software-Konfigurationen, so dass Ihre Computer könnte sogar bereits mit spyware infiziert.

    • Danke. Das ist ein interessanter Ansatz. Was sind die JavaScript-APIs, die erlauben würde, mich zum download einer Datei vom server Lesen Sie die gesamte Datei, Bearbeiten es und erstellen Sie eine data-URI an, als ein Bild dargestellt? Wenn ich dies tun können, kann ich verschlüsseln, die Bild-überschriften statt der Bild-Daten, und dies würde die Probleme lösen, die ich hatte für große verschlüsselte Dateien und langsame Entschlüsselung. So weit ich habe nicht gefunden, eine Möglichkeit zum speichern der heruntergeladenen Dateien entweder als vorübergehend auf der Festplatte oder im Speicher.
    • Vereinbaren Sie mit Ihren Kommentare über das Vertrauen. Es würde wahrscheinlich reduzieren die Notwendigkeit zu Vertrauen, der server-Administrator hat die technische Fähigkeit der sicheren Handhabung der Bilder auf dem server. Aber nicht seine Absicht. Ich könnte jeden beliebigen input hier. Dies ist die wichtigste motivation bei der Verschlüsselung der Bilder. Gibt es irgendwelche certification services, die wir nutzen können? Unser name ist klein und unbekannt, aber vielleicht können wir zahlen einige große Namen zu zertifizieren unsere Prozess-und code?
    • Dieser link unten hat die details, wie man eine Datei herunterladen, die form der server-und zeigen Sie es als ein Bild durch die Daten-URL ajaxref.com/ch4/datauri.html
    InformationsquelleAutor PleaseStand
  2. 5

    Du mich dazu inspiriert, geben diesem einen Versuch. Ich gebloggt über Sie und können Sie finden eine demo hier.

    Ich verwendet Crypto-JS zum verschlüsseln und entschlüsseln mit AES und Kaninchen.

    Ersten bekomme ich die CanvasPixelArray aus dem ImageData-Objekt.

    var ctx = document.getElementById('leif')
                  .getContext('2d');
var imgd = ctx.getImageData(0,0,width,height);
var pixelArray = imgd.data;

    Dem pixel-array hat vier bytes für die einzelnen pixel als RGBA-aber Crypto-JS verschlüsselt einen string, kein array. Zuerst habe ich verwendet .join() und .split (","), um von array zu string und wieder zurück. Es war langsam und die saite dann viel länger, als es sein musste. Tatsächlich vier mal länger. Um noch mehr Platz einsparen, habe ich beschlossen, zu entledigen, den alpha-Kanal.

    function canvasArrToString(a) {
  var s="";
  //Removes alpha to save space.
  for (var i=0; i<pix.length; i+=4) {
    s+=(String.fromCharCode(pix[i])
        + String.fromCharCode(pix[i+1])
        + String.fromCharCode(pix[i+2]));
  }
  return s;
}

    String ist, was ich dann verschlüsseln. Ich sticked zu += nach dem Lesen String-Performance-Analyse.

    var encrypted = Crypto.Rabbit.encrypt(imageString, password);

    Ich habe eine kleine 160 x 120 Pixel-Bild. Mit vier Byte für jedes Pixel, das gibt 76800 bytes. Obwohl ich zog den alpha Kanal-das verschlüsselte Bild dauert noch bis 124680 bytes 1.62 mal größer. Mit .join () - es wurde 384736 Byte, 5 mal größer. Eine Ursache, für die es noch größer als das Originalbild ist, dass Crypto-JS gibt einen Base64-kodierten string und fügt hinzu, dass so etwas wie 37%.

    Bevor ich schreiben konnte, es zurück auf die Leinwand, die ich hatte, es zu konvertieren, um ein array wieder.

    function canvasStringToArr(s) {
  var arr=[];
  for (var i=0; i<s.length; i+=3) {
    for (var j=0; j<3; j++) {
      arr.push(s.substring(i+j,i+j+1).charCodeAt());
    }
    arr.push(255); //Hardcodes alpha to 255.
  }
  return arr;
}

    Entschlüsselung ist einfach.

    var arr=canvasStringToArr(
          Crypto.Rabbit.decrypt(encryptedString, password));
imgd.data=arr;
ctx.putImageData(imgd,0,0);

    Getestet in Firefox, Google Chrome, WebKit3.1 (Android 2.2), iOS 4.1, und eine sehr aktuelle Version von Opera.

    Entschlüsseln von Bildern mittels JavaScript im browser

    InformationsquelleAutor Jonas Elfström
  3. 0

    Wollte ich etwas ähnliches machen: Auf dem server wird eine verschlüsselte gif und ich will herunterladen, entschlüsseln und anzeigen in javascript. Ich war in der Lage, um es arbeiten und die Datei auf dem server gespeichert ist, die gleiche Größe wie das original plus ein paar bytes (vielleicht bis zu 32 Byte). Dies ist der code, der führt-AES-Verschlüsselung der Datei calendar.gif und macht calendar.gif.enc, geschrieben in VB.Net.

    Private Sub Button1_Click(sender As Object, e As EventArgs) Handles Button1.Click
        Dim AES As New System.Security.Cryptography.RijndaelManaged
        Dim encryption_key As String = "603deb1015ca71be2b73aef0857d77811f352c073b6108d72d9810a30914dff4"
        AES.Key = HexStringToBytes(encryption_key)
        Dim iv_string As String = "000102030405060708090A0B0C0D0E0F"
        'System.IO.File.ReadAllBytes("calendar.gif")
        'Dim test_string As String = "6bc1bee22e409f96e93d7e117393172a"
        AES.Mode = Security.Cryptography.CipherMode.CBC
        AES.IV = HexStringToBytes(iv_string)
        Dim Encrypter As System.Security.Cryptography.ICryptoTransform = AES.CreateEncryptor
        Dim b() As Byte = System.IO.File.ReadAllBytes("calendar.gif")
        System.IO.File.WriteAllBytes("calendar.gif.enc", (Encrypter.TransformFinalBlock(System.IO.File.ReadAllBytes("calendar.gif"), 0, b.Length)))
    End Sub

    Dies ist der javascript-code, downloads calendar.gif.enc Binär entschlüsselt, und macht ein Bild:

        function wordArrayToBase64(wordArray) {
      var words = wordArray.words;
      var sigBytes = wordArray.sigBytes;

      //Convert
      var output = "";
      var chr = [];
      for(var i = 0; i < sigBytes; i++) {
        chr.push((words[i >>> 2] >>> (24 - (i % 4) * 8)) & 0xff);
        if(chr.length == 3) {
          var enc = [
            (chr[0] & 0xff) >> 2,
            ((chr[0] & 3) << 4) | ((chr[1] & 0xff) >> 4),
            ((chr[1] & 15) << 2) | ((chr[2] & 0xff) >> 6),
            chr[2] & 63
          ];
          for(var j = 0; j < 4; j++) {
            output += Base64._keyStr.charAt(enc[j]);
          }
          chr = [];
        }
      }
      if(chr.length == 1) {
        chr.push(0,0);
        var enc = [
          (chr[0] & 0xff) >> 2,
          ((chr[0] & 3) << 4) | ((chr[1] & 0xff) >> 4),
          ((chr[1] & 15) << 2) | ((chr[2] & 0xff) >> 6),
          chr[2] & 63
        ];
        enc[2] = enc[3] = 64;
        for(var j = 0; j < 4; j++) {
          output += Base64._keyStr.charAt(enc[j]);
        }
      } else if(chr.length == 2) {
        chr.push(0);
        var enc = [
          (chr[0] & 0xff) >> 2,
          ((chr[0] & 3) << 4) | ((chr[1] & 0xff) >> 4),
          ((chr[1] & 15) << 2) | ((chr[2] & 0xff) >> 6),
          chr[2] & 63
        ];
        enc[3] = 64;
        for(var j = 0; j < 4; j++) {
          output += Base64._keyStr.charAt(enc[j]);
        }
      }
    return(output);
  }
  var xhr = new XMLHttpRequest();
  xhr.overrideMimeType('image/gif; charset=x-user-defined');
  xhr.onreadystatechange = function() {
    if(xhr.readyState == 4) {
      var key = CryptoJS.enc.Hex.parse('603deb1015ca71be2b73aef0857d77811f352c073b6108d72d9810a30914dff4');
      var iv  = CryptoJS.enc.Hex.parse('000102030405060708090A0B0C0D0E0F');
      var aesEncryptor = CryptoJS.algo.AES.createDecryptor(key, { iv: iv });
      var words = [];
      for(var i=0; i < (xhr.response.length+3)/4; i++) {
        var newWord = (xhr.response.charCodeAt(i*4+0)&0xff) << 24;
        newWord += (xhr.response.charCodeAt(i*4+1)&0xff) << 16;
        newWord += (xhr.response.charCodeAt(i*4+2)&0xff) << 8;
        newWord += (xhr.response.charCodeAt(i*4+3)&0xff) << 0;
        words.push(newWord);
      }            
      var inputWordArray = CryptoJS.lib.WordArray.create(words, xhr.response.length);
      var ciphertext0 = aesEncryptor.process(inputWordArray);
      var ciphertext1 = aesEncryptor.finalize();

      $('body').append('<img src="data:image/gif;base64,' + wordArrayToBase64(ciphertext0.concat(ciphertext1)) + '">');
      $('body').append('<p>' + wordArrayToBase64(ciphertext0.concat(ciphertext1)) + '</p>');
    }
  };

    Vorsichtsmaßnahmen:

    • Habe ich eine Feste IV und festen Passwort. Sie sollten den code ändern, der zum generieren einer zufälligen IV während der Verschlüsselung und stellen Sie als das erste Byte der output-Datei. Javascript muss geändert werden, auch, um diese zu gewinnen bytes.
    • Die Länge des Passworts, die behoben werden sollte: 256-bits AES-256. Wenn das Passwort ist nicht 256 bytes, eine Möglichkeit ist die Verwendung von AES-hashing-hash des Kennworts auf 256 bit Länge in der ver-und Entschlüsselung.
    • Müssen Sie crypto-js.
    • overrideMimeType funktioniert möglicherweise nicht auf älteren Browsern. Sie benötigen diese, so dass die binären Daten korrekt heruntergeladen.
    InformationsquelleAutor Eyal
Schreibe einen Kommentar