加密函数
这些函数实现了使用AES(高级加密标准)算法对数据进行加密和解密。
密钥长度取决于加密模式。对于 -128-
、-196-
和 -256-
模式,它的长度分别为16、24和32字节。
初始化向量长度始终为16字节(超过16字节的字节会被忽略)。
请注意,这些函数在ClickHouse 21.1之前运行缓慢。
encrypt
此函数使用以下模式加密数据:
- aes-128-ecb, aes-192-ecb, aes-256-ecb
- aes-128-cbc, aes-192-cbc, aes-256-cbc
- aes-128-ofb, aes-192-ofb, aes-256-ofb
- aes-128-gcm, aes-192-gcm, aes-256-gcm
- aes-128-ctr, aes-192-ctr, aes-256-ctr
- aes-128-cfb, aes-128-cfb1, aes-128-cfb8
语法
参数
mode
— 加密模式。 String.plaintext
— 需要加密的文本。 String.key
— 加密密钥。 String.iv
— 初始化向量。-gcm
模式必需,其他模式可选。 String.aad
— 附加认证数据。它不被加密,但会影响解密。仅在-gcm
模式中有效,其他模式会抛出异常。 String.
返回值
- 密文二进制字符串。 String.
示例
创建此表:
查询:
插入一些数据(请避免将密钥/初始化向量存储在数据库中,因为这会破坏加密的整体概念),同时存储'hints'也是不安全的,仅用于说明目的:
查询:
查询:
结果:
使用 -gcm
的示例:
查询:
结果:
aes_encrypt_mysql
与mysql加密兼容,生成的密文可以使用 AES_DECRYPT 函数解密。
在相同输入上将生成与 encrypt
相同的密文。但当 key
或 iv
超出正常长度时, aes_encrypt_mysql
将遵循MySQL的 aes_encrypt
的做法:'折叠' key
并忽略多余的 iv
位。
支持的加密模式:
- aes-128-ecb, aes-192-ecb, aes-256-ecb
- aes-128-cbc, aes-192-cbc, aes-256-cbc
- aes-128-ofb, aes-192-ofb, aes-256-ofb
语法
参数
mode
— 加密模式。 String.plaintext
— 需要加密的文本。 String.key
— 加密密钥。如果密钥超过模式要求的长度,将执行MySQL特定的密钥折叠。 String.iv
— 初始化向量。可选,仅考虑前16个字节 String.
返回值
- 密文二进制字符串。 String.
示例
给定相同的输入,encrypt
和 aes_encrypt_mysql
产生相同的密文:
查询:
结果:
但当 key
或 iv
超出预期长度时, encrypt
会失败:
查询:
结果:
而 aes_encrypt_mysql
产生 MySQL 兼容的输出:
查询:
结果:
注意,即使提供更长的 IV
也会产生相同的结果
查询:
结果:
与 MySQL 在相同输入上的产生是二进制相等的:
decrypt
此函数使用以下模式将密文解密为明文:
- aes-128-ecb, aes-192-ecb, aes-256-ecb
- aes-128-cbc, aes-192-cbc, aes-256-cbc
- aes-128-ofb, aes-192-ofb, aes-256-ofb
- aes-128-gcm, aes-192-gcm, aes-256-gcm
- aes-128-ctr, aes-192-ctr, aes-256-ctr
- aes-128-cfb, aes-128-cfb1, aes-128-cfb8
语法
参数
mode
— 解密模式。 String.ciphertext
— 需要解密的加密文本。 String.key
— 解密密钥。 String.iv
— 初始化向量。-gcm
模式必需,其他模式可选。 String.aad
— 附加认证数据。如果此值不正确,将无法解密。仅在-gcm
模式下有效,其他模式会抛出异常。 String.
返回值
- 解密后的字符串。 String.
示例
重用来自 encrypt 的表。
查询:
结果:
现在让我们尝试解密所有数据。
查询:
结果:
注意,只有一部分数据被正确解密,其余部分是乱码,因为在加密时 mode
、key
或 iv
不同。
tryDecrypt
类似于 decrypt
,但如果解密失败因为使用了错误的密钥,则返回 NULL。
示例
让我们创建一个表,其中 user_id
是唯一用户ID,encrypted
是一个加密字符串字段,iv
是用于解密/加密的初始向量。假设用户知道他们的ID和解密加密字段的密钥:
插入一些数据:
查询:
结果:
aes_decrypt_mysql
与mysql加密兼容,并解密使用 AES_ENCRYPT 函数加密的数据。
在相同输入下将产生与 decrypt
相同的明文。但当 key
或 iv
超出正常长度时, aes_decrypt_mysql
将遵循MySQL的 aes_decrypt
的做法:'折叠' key
并忽略多余的 IV
位。
支持的解密模式:
- aes-128-ecb, aes-192-ecb, aes-256-ecb
- aes-128-cbc, aes-192-cbc, aes-256-cbc
- aes-128-cfb128
- aes-128-ofb, aes-192-ofb, aes-256-ofb
语法
参数
返回值
- 解密后的字符串。 String.
示例
让我们解密之前用MySQL加密的数据:
查询:
结果: