Comment puis-je utiliser ConvertTo-SecureString

Disons que j'ai besoin de le faire en Powershell:

    $SecurePass = Get-Content $CredPath | ConvertTo-SecureString -Key (1..16)
    [String]$CleartextPass = [Runtime.InteropServices.Marshal]::PtrToStringAuto([Runtime.InteropServices.Marshal]::SecureStringToBSTR($CredPass));

Le contenu de $CredPath est un fichier qui contient la sortie de ConvertFrom-SecureString -Clés (1..16).

Comment puis-je accomplir le ConvertTo-SecureString -key (1..16) partie en C#/.NET?

Je sais comment créer un SecureString, mais je ne suis pas sûr de savoir comment le chiffrement doit être traitée.

Dois-je crypter chaque caractère à l'aide d'AES, ou de déchiffrer la chaîne, puis de créer la chaîne sécurisée par caractère?

Je sais rien à propos de la cryptographie, mais de ce que j'ai recueillis, je pourrais juste envie d'invoquer la commande Powershell à l'aide de C#.

Pour la référence, j'ai trouvé un poste similaire à propos du cryptage/décryptage ici:
À l'aide du cryptage AES en C#

Mise à JOUR

J'ai examiné le lien Keith posté, mais je faire face à d'autres inconnues. Le DecryptStringFromBytes_Aes prend trois arguments:

static string DecryptStringFromBytes_Aes(byte[] cipherText, byte[] Key, byte[] IV)

Le premier argument est un tableau d'octets représente le texte crypté. La question est de savoir comment la chaîne de être représentée dans le tableau d'octets? Devrait-il être représenté avec ou sans codage?

byte[] ciphertext = Encoding.ASCII.GetBytes(encrypted_text);
byte[] ciphertext = Encoding.UTF8.GetBytes(encrypted_text);
byte[] ciphertext = Encoding.Unicode.GetBytes(encrypted_text);    

byte[] ciphertext = new byte[encrypted_password.Length * sizeof(char)];
System.Buffer.BlockCopy(encrypted_password.ToCharArray(), 0, text, 0, text.Length);

Le deuxième tableau d'octets est la clé doit être simplement un tableau d'entiers:

byte[] key = { 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16 };

Le troisième tableau d'octets est un "Vecteur d'Initialisation" - il ressemble à l'Aes.Créer() va générer un byte[] pour IV au hasard. La lecture, j'ai découvert que j'ai peut-être besoin d'utiliser le même IV. Comme ConvertFrom-SecureString et ConvertTo-SecureString sont en mesure de chiffrer/déchiffrer en utilisant simplement la clé, je suis parti avec l'hypothèse que le IV[] peut être aléatoire ou a une définition statique.

Je n'ai pas encore trouvé une combinaison gagnante, mais je vais continuer d'essayer.

  • double possible de convertit une Chaîne de SecureString
  • L'un de l'autre Mvp PowerShell croit que la chaîne est encodé en Base64. Il semble qu'il y a trois ensembles de données délimité par le | char. Le milieu peut être le IV de données.
  • Hmm, (s)il a peut être raison. Si l'un des trois est un IV et un représente le texte crypté, ce qui serait le troisième délimité par l'élément de l'être? Peut-être le sel de la clé fournie?
  • Pour le même problème, mais dans le cas où la clé n'est pas fourni (c'est à dire où ConvertFrom-SecureString a été utilisé sans clé), voir stackoverflow.com/questions/33880731/....
InformationsquelleAutor Rex Hardin | 2012-11-29
  1. 11

    Je sais que c'est un vieux post. Je suis l'affichage de cette exhaustivité et de la postérité, parce que je ne pouvais pas trouver une réponse complète sur MSDN ou stackoverflow. Il sera ici dans le cas où j'ai besoin de le faire de nouveau.

    C'est un C# de mise en œuvre de powershell est ConvertTo-SecureString avec le cryptage AES (activé à l'aide de la touche option). Je laisse pour l'exercice de code C# de mise en œuvre de ConvertFrom-SecureString.

    # forward direction
[securestring] $someSecureString = read-host -assecurestring
[string] $psProtectedString = ConvertFrom-SecureString -key (1..16) -SecureString $someSecureString
# reverse direction
$back = ConvertTo-SecureString -string $psProtectedString -key (1..16)

    Mon travail est de combiner les réponses et la réorganisation de user2748365, la réponse à être plus lisible et en ajoutant des éducation des commentaires! J'ai aussi résolu le problème avec la prise d'une sous-chaîne (au moment de ce post, son code n'a que deux éléments dans strArray.

    using System.IO;
using System.Text;
using System.Runtime.InteropServices;
using System.Security;
using System.Security.Cryptography;
using System.Globalization;
//psProtectedString - this is the output from
//  powershell> $psProtectedString = ConvertFrom-SecureString -SecureString $aSecureString -key (1..16)
//key - make sure you add size checking 
//notes: this will throw an cryptographic invalid padding exception if it cannot decrypt correctly (wrong key)
public static SecureString ConvertToSecureString(string psProtectedString, byte[] key)
{
//'|' is indeed the separater
byte[] asBytes = Convert.FromBase64String( psProtectedString );
string[] strArray = Encoding.Unicode.GetString(asBytes).Split(new[] { '|' });
if (strArray.Length != 3) throw new InvalidDataException("input had incorrect format");
//strArray[0] is a static/magic header or signature (different passwords produce
//   the same header)  It unused in our case, looks like 16 bytes as hex-string
//you know strArray[1] is a base64 string by the '=' at the end
//   the IV is shorter than the body, and you can verify that it is the IV, 
//   because it is exactly 16bytes=128bits and it decrypts the password correctly
//you know strArray[2] is a hex-string because it is [0-9a-f]
byte[] magicHeader = HexStringToByteArray(encrypted.Substring(0, 32));
byte[] rgbIV = Convert.FromBase64String(strArray[1]);
byte[] cipherBytes = HexStringToByteArray(strArray[2]);
//setup the decrypter
SecureString str = new SecureString();
SymmetricAlgorithm algorithm = SymmetricAlgorithm.Create();
ICryptoTransform transform = algorithm.CreateDecryptor(key, rgbIV);
using (var stream = new CryptoStream(new MemoryStream(cipherBytes), transform, CryptoStreamMode.Read))
{
//using this silly loop format to loop one char at a time
//so we never store the entire password naked in memory
int numRed = 0;
byte[] buffer = new byte[2]; //two bytes per unicode char
while( (numRed = stream.Read(buffer, 0, buffer.Length)) > 0 )
{
str.AppendChar(Encoding.Unicode.GetString(buffer).ToCharArray()[0]);
}
}
//
//non-production code
//recover the SecureString; just to check
//from http://stackoverflow.com/questions/818704/how-to-convert-securestring-to-system-string
//
IntPtr valuePtr = IntPtr.Zero;
string secureStringValue = "";
try
{
//get the string back
valuePtr = Marshal.SecureStringToGlobalAllocUnicode(str);
secureStringValue = Marshal.PtrToStringUni(valuePtr);
}
finally
{
Marshal.ZeroFreeGlobalAllocUnicode(valuePtr);
}
return str;
}
//from http://stackoverflow.com/questions/311165/how-do-you-convert-byte-array-to-hexadecimal-string-and-vice-versa
public static byte[] HexStringToByteArray(String hex)
{
int NumberChars = hex.Length;
byte[] bytes = new byte[NumberChars / 2];
for (int i = 0; i < NumberChars; i += 2) bytes[i / 2] = Convert.ToByte(hex.Substring(i, 2), 16);
return bytes;
}
public static SecureString DecryptPassword( string psPasswordFile, byte[] key )
{
if( ! File.Exists(psPasswordFile)) throw new ArgumentException("file does not exist: " + psPasswordFile);
string formattedCipherText = File.ReadAllText( psPasswordFile );
return ConvertToSecureString(formattedCipherText, key);
}
    • ConvertToSecureString(mot de passe, new byte[] {1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16}); était ce qui me manquait
    InformationsquelleAutor Cheng Tsai
  2. 3

    Selon les docs sur ConvertFrom-SecureString l'algorithme de chiffrement AES est utilisé:

    Si une clé de chiffrement est spécifié à l'aide de la Clé ou de SecureKey
    paramètres, l'AES (Advanced Encryption Standard) de chiffrement
    l'algorithme utilisé. La clé spécifiée doit avoir une longueur de 128, 192,
    ou 256 bits car ceux sont les longueurs de clé pris en charge par l'AES
    l'algorithme de chiffrement. Si aucune touche n'est spécifié, les Données de Windows
    La Protection de l'API (DPAPI) est utilisée pour chiffrer le standard de la chaîne
    la représentation.

    Regarder la DecryptStringFromBytes_Aes exemple dans le MSDN docs.

    BTW une option facile serait d'utiliser le PowerShell moteur à partir de C# pour exécuter la ConvertTo-SecureString applet de commande pour faire le travail. Sinon, on dirait que le vecteur d'initialisation est intégré quelque part dans le ConvertFrom-SecureString de sortie et peut ou peut ne pas être facile à extraire.

    • J'ai trouvé que la page précédente, mais je n'ai toujours face à un inconnu. Le DecryptStringFromBytes_Aes prend trois arguments:
    • Merci pour votre commentaire. J'ai mis à jour la question avec des informations supplémentaires.
    InformationsquelleAutor Keith Hill
  3. 1

    Comment puis-je accomplir le ConvertTo-SecureString -clés (1..16) partie en C#/.NET?

    Veuillez consulter le code suivant:

        private static SecureString ConvertToSecureString(string encrypted, string header, byte[] key)
{
string[] strArray = Encoding.Unicode.GetString(Convert.FromBase64String(encrypted.Substring(header.Length, encrypted.Length - header.Length))).Split(new[] {'|'});
SymmetricAlgorithm algorithm = SymmetricAlgorithm.Create();
int num2 = strArray[2].Length/2;
var bytes = new byte[num2];
for (int i = 0; i < num2; i++)
bytes[i] = byte.Parse(strArray[2].Substring(2*i, 2), NumberStyles.AllowHexSpecifier, CultureInfo.InvariantCulture);
ICryptoTransform transform = algorithm.CreateDecryptor(key, Convert.FromBase64String(strArray[1]));
using (var stream = new CryptoStream(new MemoryStream(bytes), transform, CryptoStreamMode.Read))
{
var buffer = new byte[bytes.Length];
int num = stream.Read(buffer, 0, buffer.Length);
var data = new byte[num];
for (int i = 0; i < num; i++) data[i] = buffer[i];
var str = new SecureString();
for (int j = 0; j < data.Length/2; j++) str.AppendChar((char) ((data[(2*j) + 1]*0x100) + data[2*j]));
return str;
}
}

    Exemple:

        encrypted = "76492d1116743f0423413b16050a5345MgB8ADcAbgBiAGoAVQBCAFIANABNADgAYwBSAEoAQQA1AGQAZgAvAHYAYwAvAHcAPQA9AHwAZAAzADQAYwBhADYAOQAxAGIAZgA2ADgAZgA0AGMANwBjADQAYwBiADkAZgA1ADgAZgBiAGQAMwA3AGQAZgAzAA==";
header = "76492d1116743f0423413b16050a5345";

    Si vous souhaitez obtenir décrypté caractères, veuillez vérifier données dans la méthode.

    InformationsquelleAutor user2748365
  4. 0

    J'ai trouvé le plus facile et le plus simple a été d'appeler le ConvertTo-SecureString de commande PowerShell directement à partir de C#. De cette façon, il n'y a pas de différence dans la mise en œuvre et le résultat est exactement ce que ce serait si vous l'avez appelé à partir de PowerShell directement.

        string encryptedPassword = RunPowerShellCommand("\"" 
+ password 
+ "\" | ConvertTo-SecureString -AsPlainText -Force | ConvertFrom-SecureString", null);
public static string RunPowerShellCommand(string command, 
Dictionary<string, object> parameters)
{
using (PowerShell powerShellInstance = PowerShell.Create())
{
//Set up the running of the script
powerShellInstance.AddScript(command);
//Add the parameters
if (parameters != null)
{
foreach (var parameter in parameters)
{
powerShellInstance.AddParameter(parameter.Key, parameter.Value);
}
}
//Run the command
Collection<PSObject> psOutput = powerShellInstance.Invoke();
StringBuilder stringBuilder = new StringBuilder();
if (powerShellInstance.Streams.Error.Count > 0)
{
foreach (var errorMessage in powerShellInstance.Streams.Error)
{
if (errorMessage != null)
{
throw new InvalidOperationException(errorMessage.ToString());
}
}
}
foreach (var outputLine in psOutput)
{
if (outputLine != null)
{
stringBuilder.Append(outputLine);
}
}
return stringBuilder.ToString();
}
}
    InformationsquelleAutor SharpC
  5. 0

    Ajoutant à Cheng de réponse - j'ai trouvé, j'ai dû changer:

    byte[] magicHeader = HexStringToByteArray(encrypted.Substring(0, 32));

    à

    byte[] magicHeader = HexStringToByteArray(psProtectedString.Substring(0, 32));

    et 

    SymmetricAlgorithm algorithm = SymmetricAlgorithm.Create();

    à

    SymmetricAlgorithm algorithm = Aes.Create();

    mais sinon il fonctionne à merveille.

    InformationsquelleAutor user2327669