java - 如何使用 SunMSCAPI 密钥解密 RSA-OAEP
问题描述
我有一个证书,私钥存储在 Windows 证书存储中。如何使用此密钥解密使用 OAEP 填充的消息?我可以使用 Bouncycastle 提供程序和 pfx 文件(PKCS12 密钥库)解密消息,但不能使用 Windows 存储(SunMSCAPI)。
我基本上使用的是这段代码
KeyStore keyStore = java.security.KeyStore.getInstance("Windows-MY");
keyStore.load(null, null);
PrivateKey privateKey = (PrivateKey) keyStore.getKey("keyalias", null);
java.security.Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
JceKeyTransRecipient jceKeyTransEnvelopedRecipient = new JceKeyTransEnvelopedRecipient(privateKey);
CMSEnvelopedData envelopedData = new CMSEnvelopedData(Base64.getDecoder().decode(encryptedData));
RecipientInformationStore recipientInfos = envelopedData.getRecipientInfos();
RecipientInformation recipient = recipientInfos.getRecipients().iterator().next();
byte[] decrypted = recipient.getContent(jceKeyTransEnvelopedRecipient);
结果是
Caused by: java.security.InvalidKeyException: No installed provider supports this key: sun.security.mscapi.RSAPrivateKey
at javax.crypto.Cipher.chooseProvider(Cipher.java:892)
at javax.crypto.Cipher.init(Cipher.java:1248)
at javax.crypto.Cipher.init(Cipher.java:1185)
at org.bouncycastle.operator.jcajce.JceAsymmetricKeyUnwrapper.generateUnwrappedKey(JceAsymmetricKeyUnwrapper.java:148)
如果我这样指定提供者:
JceKeyTransRecipient jceKeyTransEnvelopedRecipient = new JceKeyTransEnvelopedRecipient(privateKey).setProvider("SunMSCAPI");
然后我收到错误(不支持 OAEP)
Caused by: java.security.NoSuchAlgorithmException: No such algorithm: 1.2.840.113549.1.1.7
at javax.crypto.Cipher.getInstance(Cipher.java:687)
at javax.crypto.Cipher.getInstance(Cipher.java:595)
at org.bouncycastle.jcajce.util.NamedJcaJceHelper.createCipher(NamedJcaJceHelper.java:47)
at org.bouncycastle.operator.jcajce.OperatorHelper.createAsymmetricWrapper(OperatorHelper.java:267)
很快,java 不支持 OAEP,即使 BC 确实支持 OAEP,它也不能将其用于“外部”密钥。如果这是真的,还有其他选择吗?
解决方案
我认为詹姆斯的评论是正确的。只是SunMSCAPI桥不支持 OAEP,即使 Windows 平台支持。SunMSCAPI不会释放私钥值,所以Java会搜索任何支持OAEP和私钥对象的提供者,然后找不到。这解释了最初的例外:No installed provider supports this key: sun.security.mscapi.RSAPrivateKey.
请注意,“Java 不支持 OAEP”这句话显然是错误的,因为 OAEP甚至包含在 required algorithm中。换句话说,如果没有 OAEP,您甚至不能称它为 Java,实际上 SunJCE 提供程序确实包含对它的支持,包括支持更多的散列函数和其他位大小,而不仅仅是 1024 和 2048 位。但是,这确实需要与软件实现兼容的密钥。
推荐阅读
- git - zsh 显示 git-status 甚至很难它不是一个 repo
- microsoft-teams - 应用程序在 Teams 内运行,但不在本地主机上
- reactjs - 这个 React 代码中的“ref”做了什么
- html - 浏览器对@media 查询的解释存在错误
- scala - 为什么将具有 3 字段元组的普通 RDD 转换为 map 方法中的键值对是有效的?
- apache-spark - 提高窗口功能性能
- javascript - 对对象集合(不是数组)进行排序
- vue.js - 如何检测请求是否被 AdBlocker 阻止?
- python - 如何按日期过滤python pandas数据框列
- google-cloud-platform - GCP 列出项目中的所有内容