我有一些要移植到 Android 的 JDK 1.6 代码,但它的行为有所不同。
// decode public key
pubk = KeyFactory.getInstance("RSA").generatePublic(
new X509EncodedKeySpec(X)
);
// decode symmetric key
cipher = Cipher.getInstance("RSA");
cipher.init(Cipher.UNWRAP_MODE, pubk);
skey = (SecretKey)cipher.unwrap(key1, "AES", Cipher.SECRET_KEY);
pubk 是 2048 位 RSA key ,尽管采用不同的表示形式(Sun 或 OpenSSL)。
key1为2048位字节数组。
问题是:我对 skey 有不同的结果。在 Sun JRE 上它是 128 位 AES key ,在 Android 上它是 2048 位数组,包含以下字节:
[1, -1, -1 ... ,-1, 0, (这里是实际的关键字节)]
原始包装是通过以下方式完成的:
// generate symmetric key
kgen = KeyGenerator.getInstance("AES");
kgen.init(128, SecureRandom.getInstance("SHA1PRNG"));
skey = kgen.generateKey();
// create Cipher
cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
cipher.init(Cipher.ENCRYPT_MODE, skey);
// decode private key
privk = KeyFactory.getInstance("RSA").generatePrivate(
new PKCS8EncodedKeySpec(X)
);
// wrap symmetric key
cipher = Cipher.getInstance("RSA");
cipher.init(Cipher.WRAP_MODE, privk);
skey_buffer = cipher.wrap(skey);
在包装期间(在 Sun JRE 中)skey 是 128 位,结果 skey_buffer 是 2048 位
我想这与 Sun 将 key 长度限制为 128 位有关。 现在我想它与填充有关。但是我如何将这些限制应用于 BouncyCaSTLe 实现,以获得相同的解包 key 输出?当然,我可以硬编码删除解码数组开头的 -1,但也许有一些(填充)参数可以获得原始 128 位文本?
Upd:我当时不专心,错过了展开的 skey 不是 256 位,而是 2048 位的事实。更新了问题。
最佳答案
二进制数据(AES key )的大小在解密期间确定。
加密明文数据的大小由 Sun 提供程序中的 PKCS#1 v1.5 解填充机制决定(您在使用私钥进行模幂运算后获得,这是解密的第一步)。换句话说,Sun 提供程序默认为 "RSA/ECB/PKCS1Padding"。
但是在 Android 供应商中,PKCS#1 v1.5 未执行填充,相反它似乎默认为 "RSA/ECB/NoPadding"。这就是您在结果中看到所有 -1 值的原因;这是填充的一部分。这也意味着使用用于签名生成的填充机制而不是用于加密的填充机制。这是因为您使用的是私钥而不是公钥来执行加密。
因此您应该明确指定 "RSA/ECB/PKCS1Padding" 并使用 RSA 公钥进行包装(如果每个人都可以解密您的 AES key 就没用了,对吧?)。尝试改用 OAEP 加密(在 Java 中是 "RSA/ECB/OAEPWithSHA1AndMGF1Padding")。 PCKS#1 填充容易受到某些类型的攻击。</p>
关于java - Cipher.unwrap() key 长度 Sun - BouncyCaSTLe 兼容性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28155639/