LockBox 3 Шифрование не соответствует онлайн-инструменту, подозрительное заполнение или проблема с ключом

У меня есть клиент, предоставляющий API, который требует, чтобы отправляемые ему данные были зашифрованы с помощью AES, 128-битного ключа, режима ECB и PKCS5Padding. Я пытаюсь использовать LockBox 3 в Delphi 10.3 Rio и не получаю ту же зашифрованную строку, что и инструмент онлайн-тестирования, на который они указали для проверки. Это близко, но не совсем там.

Много читал здесь о Unicode, PKCS5Padding и связанные вопросы, я дошел до конца, что попробовать. Должен признаться, что я не особо разбираюсь в шифровании и читаю столько, сколько могу, чтобы разобраться в этом, прежде чем задавать вопросы.

Есть пара вещей, которые я хотел бы подтвердить:

• Разница между паролем и ключом. Я читал, что LB3 использует пароль для генерации ключа, но у меня есть конкретные инструкции от клиента о том, как должен быть сгенерирован ключ, поэтому я создал свой собственный ключ в кодировке Base64 и вызываю InitFromStream для его инициализации. Я считаю, что это заменяет установку пароля, верно? Или, может быть, пароли используются только асимметричными шифраторами (а не симметричными, как AES)?
• PKCS5Padding: меня беспокоит то, что я прочитал на справочном сайте LB3 указанное заполнение выполняется разумно в зависимости от выбора шифра, режима цепочки и т. д. Значит ли это, что нет способа заставить его использовать определенный метод заполнения? Я преобразовал данные в массив байтов и реализовал собственный PKCS5Padding, но я думаю, что LB3 все еще может быть заполнен за пределами этого. (Я пытался просмотреть код и не нашел никаких доказательств того, что это то, что он делает.)

Должен ли я использовать для этого другую библиотеку шифрования в Delphi? Я проверил DelphiEncryptionCompendium и DcPCryptV2, но я обнаружил, что LB3 имеет наибольшую поддержку, и я это почувствовал. с ним было проще всего работать, особенно в моей Unicode-версии Delphi. Кроме того, я довольно часто использовал LockBox 2 в прошлые годы, поэтому я подумал, что он будет более знакомым (как оказалось, это не так).

Чтобы проиллюстрировать, что я пробовал, я извлек свой код из проекта в консольное приложение. Возможно, мои предположения выше верны, и в моем коде есть явная ошибка или параметр LB3, который я не понимаю, что кто-то укажет:

program LB3ConsoleTest;

{$APPTYPE CONSOLE}

{$R *.res}

uses
  System.SysUtils, System.Classes, System.NetEncoding,
  uTPLb_Codec, uTPLb_CryptographicLibrary,
  uTPLb_StreamUtils, uTPLb_Constants;

var
  Codec: TCodec;
  CryptographicLibrary: TCryptographicLibrary;

function PKCS5PadStringToBytes(RawData: string; const PadSize: Integer): TBytes;
{ implement our own block padding }
var
  DataLen: Integer;
  PKCS5PaddingCount: ShortInt;
begin
  Result := TEncoding.UTF8.GetBytes(RawData);
  DataLen := Length(RawData);

  PKCS5PaddingCount := PadSize - DataLen mod PadSize;
  if PKCS5PaddingCount = 0 then
    PKCS5PaddingCount := PadSize;
  Inc(DataLen, PKCS5PaddingCount);

  SetLength(Result, DataLen);
  FillChar(Result[DataLen - PKCS5PaddingCount], PKCS5PaddingCount, PKCS5PaddingCount);
end;

procedure InitializeAESKey(const AESKey: string);
{ convert the string to a byte array,
  use that to initialize a ByteStream,
  and call LB3's InitFromStream }
var
  AESKeyBytes: TBytes;
  AESKeyStream: TBytesStream;
begin
  AESKeyBytes := TEncoding.UTF8.GetBytes(AESKey);
  AESKeyStream := TBytesStream.Create(AESKeyBytes);
  Codec.InitFromStream(AESKeyStream);
end;

const
  RawData = '{"invoice_id":"456456000018047","clerk_id":"0023000130234234","trans_amount":1150034534,"cust_code":"19455605000987890641","trans_type":"TYPE1"}';
  AESKeyStr = 'CEAA31AD1EE4BDC8';
var
  DataBytes: TBytes;
  DataStream: TBytesStream;
  ResultStream: TBytesStream;
  ResultBytes: TBytes;
  Base64Encoder: TBase64Encoding;
begin
  // create the LockBox3 objects
  Codec := TCodec.Create(nil);
  CryptographicLibrary := TCryptographicLibrary.Create(nil);
  try
    // setup LB3 for AES, 128-bit key, ECB
    Codec.CryptoLibrary := CryptographicLibrary;
    Codec.StreamCipherId := uTPLb_Constants.BlockCipher_ProgId;
    Codec.BlockCipherId  := Format(uTPLb_Constants.AES_ProgId, [128]);
    Codec.ChainModeId    := uTPLb_Constants.ECB_ProgId;

    // prep the data, the key, and the resulting stream
    DataBytes := PKCS5PadStringToBytes(RawData, 8);
    DataStream := TBytesStream.Create(DataBytes);
    InitializeAESKey(AESKeyStr);
    ResultStream := TBytesStream.Create;

    // ENCRYPT!
    Codec.EncryptStream(DataStream, ResultStream);

    // take the result stream, convert it to a byte array
    ResultStream.Seek(0, soFromBeginning);
    ResultBytes := Stream_to_Bytes(ResultStream);

    // convert the byte array to a Base64-encoded string and display
    Base64Encoder := TBase64Encoding.Create(0);
    Writeln(Base64Encoder.EncodeBytesToString(ResultBytes));

    Readln;
  finally
    Codec.Free;
    CryptographicLibrary.Free;
  end;
end.

Эта программа генерирует зашифрованную строку длиной 216 символов, в которой только последние 25 символов отличаются от онлайн-инструмент производит.

Почему?