java - AESWrap 和 to-wrap-key 长度长度/填充问题
问题描述
我需要用AESWrap
. 由于我的私有值字符串(要包装的密钥)的长度,我对此操作有疑问。
这是我的实现:
final byte[] kek = // ... generate SHA-256 key via `PBKDF2WithHmacSHA256`
SecretKey sKey = new SecretKeySpec(kek, "AES");
Cipher c = Cipher.getInstance("AESWrap", "SunJCE");
c.init(Cipher.WRAP_MODE, sKey);
byte[] bytes = privateValue.getBytes();
SecretKeySpec wk = new SecretKeySpec(bytes, "AES");
byte[] result = c.wrap(wk);
由于SunJCE
提供程序不支持密钥包装的任何填充,因此私有值应该是 8 字节的倍数,这是我需要解决的问题。
问题:当私有值没有足够的长度时如何解决这种情况。有没有一些推荐的方法来自己做填充?
PS我想避免像BC等外部库。
关于@Maarten 的回答,我创建了这个实现。它可以工作(它成功地包装和解开我的私有值),但是这种实现安全吗?
包装
byte[] salt = .... // 32 random bytes...
byte[] kek = ... // PBKDF2WithHmacSHA256 hash from private value and salt
SecretKey sKey = new SecretKeySpec(kek, "AES");
Cipher c = Cipher.getInstance("AES/CBC/PKCS5Padding", "SunJCE");
SecureRandom rng = new SecureRandom();
byte[] ivBytes = new byte[c.getBlockSize()];
rng.nextBytes(ivBytes);
IvParameterSpec iv = new IvParameterSpec(ivBytes);
c.init(Cipher.WRAP_MODE, sKey, iv);
SecretKeySpec wk = new SecretKeySpec(privateValue.getBytes(), "AES");
byte[] result = c.wrap(wk); // wrapped private value
展开
byte[] kek = ... // PBKDF2WithHmacSHA256 hash from private value and previous salt
SecretKey sKey = new SecretKeySpec(kek, "AES");
Cipher c = Cipher.getInstance("AES/CBC/PKCS5Padding", "SunJCE");
IvParameterSpec iv = new IvParameterSpec(parsed.getIv()); // previously created iv
c.init(Cipher.UNWRAP_MODE, sKey, iv);
SecretKeySpec wk = new SecretKeySpec(privateValue.getBytes(), "AES");
Key result = c.unwrap(parsed.getKey(), "AES", Cipher.SECRET_KEY);
byte[] pv = result.getEncoded(); // unwrapped private value
解决方案
可以使用正常的操作模式而不是 AES 的专用填充模式。填充模式更好,但只有带有 PKCS#7 填充的 CBC 就足够了。
明智的做法是使用 IV 并将其与包装的密钥一起存储。私钥通常不仅仅是二进制数据,而是有结构的,如果你用这种方式包装多个密钥,你可能会泄露一点点信息。对于 RSA,随机模数出现在私有指数/CRT 参数之前,因此您也应该使用零 IV 来确保安全。
// --- key pair with private key for testing
KeyPairGenerator gen = KeyPairGenerator.getInstance("RSA");
gen.initialize(4096);
KeyPair kp = gen.generateKeyPair();
// --- create KEK
final byte[] kek = new byte[16]; // test value
SecretKey sKey = new SecretKeySpec(kek, "AES");
// --- the cipher, not a special wrapping algorithm
Cipher c = Cipher.getInstance("AES/CBC/PKCS5Padding", "SunJCE");
// --- create IV
// not really necessary because the modulus comes first, but nicer
SecureRandom rng = new SecureRandom();
byte[] ivBytes = new byte[c.getBlockSize()];
rng.nextBytes(ivBytes);
IvParameterSpec iv = new IvParameterSpec(ivBytes);
// --- init & wrap by normal encryption
c.init(Cipher.WRAP_MODE, sKey, iv);
byte[] result = c.wrap(kp.getPrivate());
AES-SIV 会更好,但这不包括在 SunJCE 提供程序中。您可以使用 AES-GCM 来宣传完整性,但要注意重复 12 字节 IV(随机数)对于该模式可能是灾难性的。
推荐阅读
- reactjs - Storybook 中缺少 MaterialUI 表格道具
- selenium - 在 Appium 和 Selenium 库的情况下,使用方法“捕获页面屏幕截图”的 Robot Framework 自动日志生成问题
- angular - 链接在新选项卡或新窗口中不起作用
- python-3.x - 如何从 python 脚本验证 yaml 文件?
- java - optaplanner 如何动态添加或编辑规则
- html - CSS 选择元素,它具有以下元素
- php - WP Crontrol:在您的站点上产生对 WP-Cron 系统的调用时出现问题
- swift - 如何在导航视图控制器中引用当前视图
- vb.net - 如何选择实体列表并获得它们的属性?
- php - PHP将结果循环到数组中