跳到主要内容
跳到主要内容

加密函数

这些函数实现了使用AES(高级加密标准)算法对数据进行加密和解密。

密钥长度取决于加密模式。对于 -128--196--256- 模式,它的长度分别为16、24和32字节。

初始化向量长度始终为16字节(超过16字节的字节会被忽略)。

请注意,这些函数在ClickHouse 21.1之前运行缓慢。

encrypt

此函数使用以下模式加密数据:

  • aes-128-ecb, aes-192-ecb, aes-256-ecb
  • aes-128-cbc, aes-192-cbc, aes-256-cbc
  • aes-128-ofb, aes-192-ofb, aes-256-ofb
  • aes-128-gcm, aes-192-gcm, aes-256-gcm
  • aes-128-ctr, aes-192-ctr, aes-256-ctr
  • aes-128-cfb, aes-128-cfb1, aes-128-cfb8

语法

参数

  • mode — 加密模式。 String.
  • plaintext — 需要加密的文本。 String.
  • key — 加密密钥。 String.
  • iv — 初始化向量。 -gcm 模式必需,其他模式可选。 String.
  • aad — 附加认证数据。它不被加密,但会影响解密。仅在 -gcm 模式中有效,其他模式会抛出异常。 String.

返回值

  • 密文二进制字符串。 String.

示例

创建此表:

查询:

插入一些数据(请避免将密钥/初始化向量存储在数据库中,因为这会破坏加密的整体概念),同时存储'hints'也是不安全的,仅用于说明目的:

查询:

查询:

结果:

使用 -gcm 的示例:

查询:

结果:

aes_encrypt_mysql

与mysql加密兼容,生成的密文可以使用 AES_DECRYPT 函数解密。

在相同输入上将生成与 encrypt 相同的密文。但当 keyiv 超出正常长度时, aes_encrypt_mysql 将遵循MySQL的 aes_encrypt 的做法:'折叠' key 并忽略多余的 iv 位。

支持的加密模式:

  • aes-128-ecb, aes-192-ecb, aes-256-ecb
  • aes-128-cbc, aes-192-cbc, aes-256-cbc
  • aes-128-ofb, aes-192-ofb, aes-256-ofb

语法

参数

  • mode — 加密模式。 String.
  • plaintext — 需要加密的文本。 String.
  • key — 加密密钥。如果密钥超过模式要求的长度,将执行MySQL特定的密钥折叠。 String.
  • iv — 初始化向量。可选,仅考虑前16个字节 String.

返回值

  • 密文二进制字符串。 String.

示例

给定相同的输入,encryptaes_encrypt_mysql 产生相同的密文:

查询:

结果:

但当 keyiv 超出预期长度时, encrypt 会失败:

查询:

结果:

aes_encrypt_mysql 产生 MySQL 兼容的输出:

查询:

结果:

注意,即使提供更长的 IV 也会产生相同的结果

查询:

结果:

与 MySQL 在相同输入上的产生是二进制相等的:

decrypt

此函数使用以下模式将密文解密为明文:

  • aes-128-ecb, aes-192-ecb, aes-256-ecb
  • aes-128-cbc, aes-192-cbc, aes-256-cbc
  • aes-128-ofb, aes-192-ofb, aes-256-ofb
  • aes-128-gcm, aes-192-gcm, aes-256-gcm
  • aes-128-ctr, aes-192-ctr, aes-256-ctr
  • aes-128-cfb, aes-128-cfb1, aes-128-cfb8

语法

参数

  • mode — 解密模式。 String.
  • ciphertext — 需要解密的加密文本。 String.
  • key — 解密密钥。 String.
  • iv — 初始化向量。 -gcm 模式必需,其他模式可选。 String.
  • aad — 附加认证数据。如果此值不正确,将无法解密。仅在 -gcm 模式下有效,其他模式会抛出异常。 String.

返回值

  • 解密后的字符串。 String.

示例

重用来自 encrypt 的表。

查询:

结果:

现在让我们尝试解密所有数据。

查询:

结果:

注意,只有一部分数据被正确解密,其余部分是乱码,因为在加密时 modekeyiv 不同。

tryDecrypt

类似于 decrypt,但如果解密失败因为使用了错误的密钥,则返回 NULL。

示例

让我们创建一个表,其中 user_id 是唯一用户ID,encrypted 是一个加密字符串字段,iv 是用于解密/加密的初始向量。假设用户知道他们的ID和解密加密字段的密钥:

插入一些数据:

查询:

结果:

aes_decrypt_mysql

与mysql加密兼容,并解密使用 AES_ENCRYPT 函数加密的数据。

在相同输入下将产生与 decrypt 相同的明文。但当 keyiv 超出正常长度时, aes_decrypt_mysql 将遵循MySQL的 aes_decrypt 的做法:'折叠' key 并忽略多余的 IV 位。

支持的解密模式:

  • aes-128-ecb, aes-192-ecb, aes-256-ecb
  • aes-128-cbc, aes-192-cbc, aes-256-cbc
  • aes-128-cfb128
  • aes-128-ofb, aes-192-ofb, aes-256-ofb

语法

参数

  • mode — 解密模式。 String.
  • ciphertext — 需要解密的加密文本。 String.
  • key — 解密密钥。 String.
  • iv — 初始化向量。可选。 String.

返回值

  • 解密后的字符串。 String.

示例

让我们解密之前用MySQL加密的数据:

查询:

结果: