256-битное Java AES-шифрование на основе пароля

390

Мне нужно реализовать 256-битное шифрование AES, но все примеры, которые я нашел в Интернете, используют «KeyGenerator» для генерации 256-битного ключа, но я бы хотел использовать свой собственный пароль. Как я могу создать свой собственный ключ? Я попытался дополнить его до 256 бит, но затем я получаю сообщение об ошибке, говорящее о том, что ключ слишком длинный. У меня установлен патч неограниченной юрисдикции, так что это не проблема :)

То есть. KeyGenerator выглядит так ...

// Get the KeyGenerator
KeyGenerator kgen = KeyGenerator.getInstance("AES");
kgen.init(128); // 192 and 256 bits may not be available

// Generate the secret key specs.
SecretKey skey = kgen.generateKey();
byte[] raw = skey.getEncoded();

Код взят здесь

РЕДАКТИРОВАТЬ

Я на самом деле дополнял пароль до 256 байтов, а не бит, что слишком долго. Ниже приведен код, который я использую сейчас, когда у меня есть немного опыта с этим.

byte[] key = null; // TODO
byte[] input = null; // TODO
byte[] output = null;
SecretKeySpec keySpec = null;
keySpec = new SecretKeySpec(key, "AES");
Cipher cipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
cipher.init(Cipher.ENCRYPT_MODE, keySpec);
output = cipher.doFinal(input)

Биты "TODO" нужно делать самостоятельно :-)

java  encryption  cryptography  passwords  aes 
Nippysaurus
источник
Не могли бы вы уточнить: работает ли вызов kgen.init (256)?
Mitch Wheat
2
Да, но это автоматически генерирует ключ ... но так как я хочу зашифровать данные между двумя местами, мне нужно знать ключ заранее, поэтому мне нужно указать один вместо "генерировать" один. Я могу указать 16-битный, который работает для 128-битного шифрования, которое работает. Я пробовал 32-битный для 256-битного шифрования, но он не работал, как ожидалось.
Nippysaurus
4
Если я правильно понимаю, вы пытаетесь использовать предварительно скомпонованный 256-битный ключ, указанный, например, как массив байтов. Если это так, подход DarkSquid с использованием SecretKeySpec должен работать. Также возможно получить ключ AES из пароля; если это то, что вам нужно, пожалуйста, дайте мне знать, и я покажу вам правильный способ сделать это; простое хеширование пароля не лучшая практика.
Эриксон
Будьте осторожны при наборе номера, возможно, ваш AES менее защищен.
Джошуа
1
@erickson: это именно то, что мне нужно сделать (получить ключ AES из пароля).
Nippysaurus

Ответы:

476

Поделитесь password(a char[]) и salt(a - byte[]8 байтов, выбранных символом a, SecureRandom- хорошей солью, которую не нужно хранить в секрете) с получателем вне диапазона. Затем, чтобы получить хороший ключ из этой информации:

/* Derive the key, given password and salt. */
SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA256");
KeySpec spec = new PBEKeySpec(password, salt, 65536, 256);
SecretKey tmp = factory.generateSecret(spec);
SecretKey secret = new SecretKeySpec(tmp.getEncoded(), "AES");

Магические числа (которые могут быть определены как константы где-то) 65536 и 256 - это количество итераций вывода ключа и размер ключа соответственно.

Функция получения ключа повторяется, чтобы потребовать значительных вычислительных усилий, и это не позволяет злоумышленникам быстро пробовать много разных паролей. Количество итераций может быть изменено в зависимости от доступных вычислительных ресурсов.

Размер ключа может быть уменьшен до 128 бит, который все еще считается «сильным» шифрованием, но он не дает большой запас прочности, если обнаружены атаки, которые ослабляют AES.

При использовании с надлежащим режимом цепочки блоков один и тот же производный ключ может использоваться для шифрования многих сообщений. В Cipher Block Chaining (CBC) случайный вектор инициализации (IV) генерируется для каждого сообщения, давая различный зашифрованный текст, даже если обычный текст идентичен. CBC может быть не самым безопасным режимом, доступным для вас (см. AEAD ниже); Есть много других режимов с различными свойствами безопасности, но все они используют одинаковый случайный ввод. В любом случае выходные данные каждой операции шифрования представляют собой зашифрованный текст и вектор инициализации:

/* Encrypt the message. */
Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
cipher.init(Cipher.ENCRYPT_MODE, secret);
AlgorithmParameters params = cipher.getParameters();
byte[] iv = params.getParameterSpec(IvParameterSpec.class).getIV();
byte[] ciphertext = cipher.doFinal("Hello, World!".getBytes("UTF-8"));

Храните ciphertextи iv. При дешифровании, SecretKeyрегенерируется точно так же, используя пароль с теми же параметрами соли и итерации. Инициализируйте шифр с этим ключом и вектором инициализации, сохраненным с сообщением:

/* Decrypt the message, given derived key and initialization vector. */
Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
cipher.init(Cipher.DECRYPT_MODE, secret, new IvParameterSpec(iv));
String plaintext = new String(cipher.doFinal(ciphertext), "UTF-8");
System.out.println(plaintext);

Java 7 включала поддержку API для режимов шифрования AEAD , и поставщик SunJCE, включенный в дистрибутивы OpenJDK и Oracle, реализует их начиная с Java 8. Один из этих режимов настоятельно рекомендуется вместо CBC; это защитит целостность данных, а также их конфиденциальность.

java.security.InvalidKeyExceptionС сообщением «Незаконные размер ключа или по умолчанию параметров» означает , что сила криптография является ограниченным; файлы политики неограниченной юрисдикции находятся не в правильном месте. В JDK они должны быть помещены под${jdk}/jre/lib/security

Судя по описанию проблемы, похоже, что файлы политики установлены неправильно. Системы могут легко иметь несколько сред выполнения Java; перепроверьте, чтобы убедиться, что используется правильное местоположение.

Эриксон
источник
29
@ Ник: Прочитайте PKCS # 5. Соли необходимы для PBKDF2, поэтому API для шифрования на основе паролей требует их в качестве входных данных для получения ключей. Без солей можно использовать атаку по словарю, что позволяет предварительно вычислить список наиболее вероятных симметричных ключей шифрования. Шифр IV и ключевые производные соли служат различным целям. IV позволяют повторно использовать один и тот же ключ для нескольких сообщений. Соли предотвращают словарные атаки на ключ.
Эриксон
2
Во-первых, это будет шифрование DES, а не AES. Большинство провайдеров не имеют хорошей поддержки PBEwith<prf>and<encryption>алгоритмов; например, SunJCE не предоставляет и PBE для AES. Во-вторых, включение jasypt не является целью. Пакет, который подразумевает обеспечение безопасности без понимания основополагающих принципов, кажется опасным prima facie.
Эриксон
6
Я реализовал ответ @ erickson как класс: github.com/mrclay/jSecureEdit/tree/master/src/org/mrclay/crypto (PBE выполняет свою работу, PBEStorage - это объект-значение для совместного хранения IV / зашифрованного текста.)
Стив Клэй
3
@AndyNuss Этот пример предназначен для обратимого шифрования, которое обычно не следует использовать для паролей. Вы можете использовать ключ получения PBKDF2 для надежного «хэширования» паролей. Это означает, что в приведенном выше примере вы сохраните результат tmp.getEncoded()как хеш. Вы также должны сохранить saltи итерации (65536 в этом примере), чтобы вы могли пересчитать хэш, когда кто-то пытается аутентифицироваться. В этом случае генерируйте соль с помощью криптографического генератора случайных чисел при каждом изменении пароля.
Эриксон
6
Для запуска этого кода убедитесь, что у вас есть правильные файлы политики неограниченной юрисдикции в вашей JRE, как указано в ngs.ac.uk/tools/jcepolicyfiles
Амир Могими
75

Рассмотрите возможность использования крипто-модуля Spring Security.

Модуль Spring Security Crypto обеспечивает поддержку симметричного шифрования, генерации ключей и кодирования паролей. Код распространяется как часть основного модуля, но не зависит от любого другого кода Spring Security (или Spring).

Это обеспечивает простую абстракцию для шифрования и, кажется, соответствует тому, что требуется здесь,

«Стандартным» методом шифрования является 256-битный AES с использованием PKK # 5 PBKDF2 (функция получения ключа на основе пароля № 2). Этот метод требует Java 6. Пароль, используемый для генерации SecretKey, должен храниться в безопасном месте и не должен передаваться другим пользователям. Соль используется для предотвращения словарных атак на ключ в случае взлома ваших зашифрованных данных. 16-байтовый вектор случайной инициализации также применяется, поэтому каждое зашифрованное сообщение является уникальным.

Взгляд на внутренности показывает структуру, похожую на ответ Эриксона .

Как отмечалось в этом вопросе, для этого также требуется политика неограниченной юрисдикции расширения шифрования Java (JCE) (иначе вы столкнетесь InvalidKeyException: Illegal Key Size). Это загружаемое для Java 6 , Java 7 и Java 8 .

Пример использования

import org.springframework.security.crypto.encrypt.Encryptors;
import org.springframework.security.crypto.encrypt.TextEncryptor;
import org.springframework.security.crypto.keygen.KeyGenerators;

public class CryptoExample {
    public static void main(String[] args) {
        final String password = "I AM SHERLOCKED";  
        final String salt = KeyGenerators.string().generateKey();

        TextEncryptor encryptor = Encryptors.text(password, salt);      
        System.out.println("Salt: \"" + salt + "\"");

        String textToEncrypt = "*royal secrets*";
        System.out.println("Original text: \"" + textToEncrypt + "\"");

        String encryptedText = encryptor.encrypt(textToEncrypt);
        System.out.println("Encrypted text: \"" + encryptedText + "\"");

        // Could reuse encryptor but wanted to show reconstructing TextEncryptor
        TextEncryptor decryptor = Encryptors.text(password, salt);
        String decryptedText = decryptor.decrypt(encryptedText);
        System.out.println("Decrypted text: \"" + decryptedText + "\"");

        if(textToEncrypt.equals(decryptedText)) {
            System.out.println("Success: decrypted text matches");
        } else {
            System.out.println("Failed: decrypted text does not match");
        }       
    }
}

И образец вывода,

Соль: "feacbc02a3a697b0"
Оригинальный текст: "* королевские секреты *"
Зашифрованный текст: "7c73c5a83fa580b5d6f8208768adc931ef3123291ac8bc335a1277a39d256d9a" 
Расшифрованный текст: "* королевские секреты *"
Успех: расшифрованные совпадения текста
Джон Маккарти
источник
Можете ли вы использовать этот модуль без загрузки всей Spring? Похоже, они не сделали файлы JAR доступными для скачивания.
theglauber
5
@theglauber Да, вы можете использовать модуль без Spring Security или Spring Framework. Судя по pom , единственной зависимостью во время выполнения является apache commons-logging 1.1.1 . Вы можете достать банку с помощью Maven или загрузить ее непосредственно из официального бинарного репозитория ( более подробную информацию о бинарных файлах Spring см. В разделе Загрузка бинарных файлов Spring 4 ).
Джон Маккарти
1
Можно ли установить длину ключа в 128 бит? Изменение папки безопасности на каждом ПК для меня не вариант.
IvanRF
1
@IvanRF извините, не похоже на это. 256 жестко закодировано в источнике
Джон Маккарти
2
NULL_IV_GENERATORИспользуется утилитой Spring не является безопасным. Если приложение не предоставляет IV, пусть поставщик выберет его и запросит его после инициализации.
Эриксон
32

Прочитав предложения Эриксона и собрав все, что я мог, из пары других публикаций и этого примера здесь , я попытался обновить код Дуга с рекомендуемыми изменениями. Не стесняйтесь редактировать, чтобы сделать это лучше.

  • Вектор инициализации больше не фиксируется
  • ключ шифрования получен с использованием кода от Эриксона
  • 8-байтовая соль генерируется в setupEncrypt () с использованием SecureRandom ()
  • ключ дешифрования генерируется из соли шифрования и пароля
  • шифр дешифрования генерируется из ключа дешифрования и вектора инициализации
  • убрал шестнадцатеричный переворот вместо кодека org.apache.commons Hex

Некоторые примечания: при этом используется 128-битный ключ шифрования - очевидно, java не будет выполнять 256-битное шифрование "из коробки". Реализация 256 требует установки некоторых дополнительных файлов в каталог установки Java.

Кроме того, я не крипто-человек. Берегись.

import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.security.AlgorithmParameters;
import java.security.InvalidAlgorithmParameterException;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.security.spec.InvalidKeySpecException;
import java.security.spec.InvalidParameterSpecException;
import java.security.spec.KeySpec;

import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.CipherInputStream;
import javax.crypto.CipherOutputStream;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.PBEKeySpec;
import javax.crypto.spec.SecretKeySpec;

import org.apache.commons.codec.DecoderException;
import org.apache.commons.codec.binary.Hex;

public class Crypto
{
    String mPassword = null;
    public final static int SALT_LEN = 8;
    byte [] mInitVec = null;
    byte [] mSalt = null;
    Cipher mEcipher = null;
    Cipher mDecipher = null;
    private final int KEYLEN_BITS = 128; // see notes below where this is used.
    private final int ITERATIONS = 65536;
    private final int MAX_FILE_BUF = 1024;

    /**
     * create an object with just the passphrase from the user. Don't do anything else yet 
     * @param password
     */
    public Crypto (String password)
    {
        mPassword = password;
    }

    /**
     * return the generated salt for this object
     * @return
     */
    public byte [] getSalt ()
    {
        return (mSalt);
    }

    /**
     * return the initialization vector created from setupEncryption
     * @return
     */
    public byte [] getInitVec ()
    {
        return (mInitVec);
    }

    /**
     * debug/print messages
     * @param msg
     */
    private void Db (String msg)
    {
        System.out.println ("** Crypt ** " + msg);
    }

    /**
     * this must be called after creating the initial Crypto object. It creates a salt of SALT_LEN bytes
     * and generates the salt bytes using secureRandom().  The encryption secret key is created 
     * along with the initialization vectory. The member variable mEcipher is created to be used
     * by the class later on when either creating a CipherOutputStream, or encrypting a buffer
     * to be written to disk.
     *  
     * @throws NoSuchAlgorithmException
     * @throws InvalidKeySpecException
     * @throws NoSuchPaddingException
     * @throws InvalidParameterSpecException
     * @throws IllegalBlockSizeException
     * @throws BadPaddingException
     * @throws UnsupportedEncodingException
     * @throws InvalidKeyException
     */
    public void setupEncrypt () throws NoSuchAlgorithmException, 
                                                           InvalidKeySpecException, 
                                                           NoSuchPaddingException, 
                                                           InvalidParameterSpecException, 
                                                           IllegalBlockSizeException, 
                                                           BadPaddingException, 
                                                           UnsupportedEncodingException, 
                                                           InvalidKeyException
    {
        SecretKeyFactory factory = null;
        SecretKey tmp = null;

        // crate secureRandom salt and store  as member var for later use
         mSalt = new byte [SALT_LEN];
        SecureRandom rnd = new SecureRandom ();
        rnd.nextBytes (mSalt);
        Db ("generated salt :" + Hex.encodeHexString (mSalt));

        factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");

        /* Derive the key, given password and salt. 
         * 
         * in order to do 256 bit crypto, you have to muck with the files for Java's "unlimted security"
         * The end user must also install them (not compiled in) so beware. 
         * see here:  http://www.javamex.com/tutorials/cryptography/unrestricted_policy_files.shtml
         */
        KeySpec spec = new PBEKeySpec (mPassword.toCharArray (), mSalt, ITERATIONS, KEYLEN_BITS);
        tmp = factory.generateSecret (spec);
        SecretKey secret = new SecretKeySpec (tmp.getEncoded(), "AES");

        /* Create the Encryption cipher object and store as a member variable
         */
        mEcipher = Cipher.getInstance ("AES/CBC/PKCS5Padding");
        mEcipher.init (Cipher.ENCRYPT_MODE, secret);
        AlgorithmParameters params = mEcipher.getParameters ();

        // get the initialization vectory and store as member var 
        mInitVec = params.getParameterSpec (IvParameterSpec.class).getIV();

        Db ("mInitVec is :" + Hex.encodeHexString (mInitVec));
    }



    /**
     * If a file is being decrypted, we need to know the pasword, the salt and the initialization vector (iv). 
     * We have the password from initializing the class. pass the iv and salt here which is
     * obtained when encrypting the file initially.
     *   
     * @param initvec
     * @param salt
     * @throws NoSuchAlgorithmException
     * @throws InvalidKeySpecException
     * @throws NoSuchPaddingException
     * @throws InvalidKeyException
     * @throws InvalidAlgorithmParameterException
     * @throws DecoderException
     */
    public void setupDecrypt (String initvec, String salt) throws NoSuchAlgorithmException, 
                                                                                       InvalidKeySpecException, 
                                                                                       NoSuchPaddingException, 
                                                                                       InvalidKeyException, 
                                                                                       InvalidAlgorithmParameterException, 
                                                                                       DecoderException
    {
        SecretKeyFactory factory = null;
        SecretKey tmp = null;
        SecretKey secret = null;

        // since we pass it as a string of input, convert to a actual byte buffer here
        mSalt = Hex.decodeHex (salt.toCharArray ());
       Db ("got salt " + Hex.encodeHexString (mSalt));

        // get initialization vector from passed string
        mInitVec = Hex.decodeHex (initvec.toCharArray ());
        Db ("got initvector :" + Hex.encodeHexString (mInitVec));


        /* Derive the key, given password and salt. */
        // in order to do 256 bit crypto, you have to muck with the files for Java's "unlimted security"
        // The end user must also install them (not compiled in) so beware. 
        // see here: 
      // http://www.javamex.com/tutorials/cryptography/unrestricted_policy_files.shtml
        factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
        KeySpec spec = new PBEKeySpec(mPassword.toCharArray (), mSalt, ITERATIONS, KEYLEN_BITS);

        tmp = factory.generateSecret(spec);
        secret = new SecretKeySpec(tmp.getEncoded(), "AES");

        /* Decrypt the message, given derived key and initialization vector. */
        mDecipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
        mDecipher.init(Cipher.DECRYPT_MODE, secret, new IvParameterSpec(mInitVec));
    }


    /**
     * This is where we write out the actual encrypted data to disk using the Cipher created in setupEncrypt().
     * Pass two file objects representing the actual input (cleartext) and output file to be encrypted.
     * 
     * there may be a way to write a cleartext header to the encrypted file containing the salt, but I ran
     * into uncertain problems with that. 
     *  
     * @param input - the cleartext file to be encrypted
     * @param output - the encrypted data file
     * @throws IOException
     * @throws IllegalBlockSizeException
     * @throws BadPaddingException
     */
    public void WriteEncryptedFile (File input, File output) throws 
                                                                                          IOException, 
                                                                                          IllegalBlockSizeException, 
                                                                                          BadPaddingException
    {
        FileInputStream fin;
        FileOutputStream fout;
        long totalread = 0;
        int nread = 0;
        byte [] inbuf = new byte [MAX_FILE_BUF];

        fout = new FileOutputStream (output);
        fin = new FileInputStream (input);

        while ((nread = fin.read (inbuf)) > 0 )
        {
            Db ("read " + nread + " bytes");
            totalread += nread;

            // create a buffer to write with the exact number of bytes read. Otherwise a short read fills inbuf with 0x0
            // and results in full blocks of MAX_FILE_BUF being written. 
            byte [] trimbuf = new byte [nread];
            for (int i = 0; i < nread; i++)
                trimbuf[i] = inbuf[i];

            // encrypt the buffer using the cipher obtained previosly
            byte [] tmp = mEcipher.update (trimbuf);

            // I don't think this should happen, but just in case..
            if (tmp != null)
                fout.write (tmp);
        }

        // finalize the encryption since we've done it in blocks of MAX_FILE_BUF
        byte [] finalbuf = mEcipher.doFinal ();
        if (finalbuf != null)
            fout.write (finalbuf);

        fout.flush();
        fin.close();
        fout.close();

        Db ("wrote " + totalread + " encrypted bytes");
    }


    /**
     * Read from the encrypted file (input) and turn the cipher back into cleartext. Write the cleartext buffer back out
     * to disk as (output) File.
     * 
     * I left CipherInputStream in here as a test to see if I could mix it with the update() and final() methods of encrypting
     *  and still have a correctly decrypted file in the end. Seems to work so left it in.
     *  
     * @param input - File object representing encrypted data on disk 
     * @param output - File object of cleartext data to write out after decrypting
     * @throws IllegalBlockSizeException
     * @throws BadPaddingException
     * @throws IOException
     */
    public void ReadEncryptedFile (File input, File output) throws 
                                                                                                                                            IllegalBlockSizeException, 
                                                                                                                                            BadPaddingException, 
                                                                                                                                            IOException
    {
        FileInputStream fin; 
        FileOutputStream fout;
        CipherInputStream cin;
        long totalread = 0;
        int nread = 0;
        byte [] inbuf = new byte [MAX_FILE_BUF];

        fout = new FileOutputStream (output);
        fin = new FileInputStream (input);

        // creating a decoding stream from the FileInputStream above using the cipher created from setupDecrypt()
        cin = new CipherInputStream (fin, mDecipher);

        while ((nread = cin.read (inbuf)) > 0 )
        {
            Db ("read " + nread + " bytes");
            totalread += nread;

            // create a buffer to write with the exact number of bytes read. Otherwise a short read fills inbuf with 0x0
            byte [] trimbuf = new byte [nread];
            for (int i = 0; i < nread; i++)
                trimbuf[i] = inbuf[i];

            // write out the size-adjusted buffer
            fout.write (trimbuf);
        }

        fout.flush();
        cin.close();
        fin.close ();       
        fout.close();   

        Db ("wrote " + totalread + " encrypted bytes");
    }


    /**
     * adding main() for usage demonstration. With member vars, some of the locals would not be needed
     */
    public static void main(String [] args)
    {

        // create the input.txt file in the current directory before continuing
        File input = new File ("input.txt");
        File eoutput = new File ("encrypted.aes");
        File doutput = new File ("decrypted.txt");
        String iv = null;
        String salt = null;
        Crypto en = new Crypto ("mypassword");

        /*
         * setup encryption cipher using password. print out iv and salt
         */
        try
      {
          en.setupEncrypt ();
          iv = Hex.encodeHexString (en.getInitVec ()).toUpperCase ();
          salt = Hex.encodeHexString (en.getSalt ()).toUpperCase ();
      }
      catch (InvalidKeyException e)
      {
          e.printStackTrace();
      }
      catch (NoSuchAlgorithmException e)
      {
          e.printStackTrace();
      }
      catch (InvalidKeySpecException e)
      {
          e.printStackTrace();
      }
      catch (NoSuchPaddingException e)
      {
          e.printStackTrace();
      }
      catch (InvalidParameterSpecException e)
      {
          e.printStackTrace();
      }
      catch (IllegalBlockSizeException e)
      {
          e.printStackTrace();
      }
      catch (BadPaddingException e)
      {
          e.printStackTrace();
      }
      catch (UnsupportedEncodingException e)
      {
          e.printStackTrace();
      }

        /*
         * write out encrypted file
         */
        try
      {
          en.WriteEncryptedFile (input, eoutput);
          System.out.printf ("File encrypted to " + eoutput.getName () + "\niv:" + iv + "\nsalt:" + salt + "\n\n");
      }
      catch (IllegalBlockSizeException e)
      {
          e.printStackTrace();
      }
      catch (BadPaddingException e)
      {
          e.printStackTrace();
      }
      catch (IOException e)
      {
          e.printStackTrace();
      }


        /*
         * decrypt file
         */
        Crypto dc = new Crypto ("mypassword");
        try
      {
          dc.setupDecrypt (iv, salt);
      }
      catch (InvalidKeyException e)
      {
          e.printStackTrace();
      }
      catch (NoSuchAlgorithmException e)
      {
          e.printStackTrace();
      }
      catch (InvalidKeySpecException e)
      {
          e.printStackTrace();
      }
      catch (NoSuchPaddingException e)
      {
          e.printStackTrace();
      }
      catch (InvalidAlgorithmParameterException e)
      {
          e.printStackTrace();
      }
      catch (DecoderException e)
      {
          e.printStackTrace();
      }

        /*
         * write out decrypted file
         */
        try
      {
          dc.ReadEncryptedFile (eoutput, doutput);
          System.out.println ("decryption finished to " + doutput.getName ());
      }
      catch (IllegalBlockSizeException e)
      {
          e.printStackTrace();
      }
      catch (BadPaddingException e)
      {
          e.printStackTrace();
      }
      catch (IOException e)
      {
          e.printStackTrace();
      }
   }


}
Wufoo
источник
13
По сути, это тот же ответ, что и у Эриксона, в окружении - не слишком хорошо запрограммированного, по моему мнению, обертки. printStackTrace()
Мартен Бодьюс
2
@owlstead - это отличный ответ. Он показывает, как зашифровать поток, зашифровав байтовый буфер, вместо того, чтобы хранить все в памяти. Ответ Эриксона не будет работать для больших файлов, которые не помещаются в памяти. Так что +1 к wufoo. :)
Dynamokaj
2
@dynamokaj Использование CipherInputStreamи CipherOutputStreamне является большой проблемой. Перетасовка всех исключений под таблицей является проблемой. Тот факт, что соль внезапно стала полем и что требуется IV, является проблемой. Тот факт, что он не следует соглашениям Java-кодирования, является проблемой. И тот факт, что это работает только с файлами, пока об этом не просили, является проблемой. И то, что остальная часть кода в основном является копией, тоже не помогает. Но , возможно , я настроить его , чтобы сделать его лучше, как это было предложено ...
Маартен Bodewes
@owlstead Я согласен, что кодирование могло бы выглядеть лучше, я сократил его до 1/4 или около того, но мне нравится, что он познакомил меня с CipherInputStream и CipherOutputStream, поскольку это было именно то, что мне было нужно вчера! ;)
Динамокай
почему дважды? fout.close (); fout.close ();
Мариан Падзиох,
7

Создать собственный ключ из байтового массива очень просто:

byte[] raw = ...; // 32 bytes in size for a 256 bit key
Key skey = new javax.crypto.spec.SecretKeySpec(raw, "AES");

Но создания 256-битного ключа недостаточно. Если генератор ключей не может сгенерировать для вас 256-битные ключи, то, Cipherвероятно, класс также не поддерживает 256-битную AES. Вы говорите, что у вас установлено исправление неограниченной юрисдикции, поэтому должен поддерживаться шифр AES-256 (но тогда должны быть и 256-битные ключи, так что это может быть проблемой конфигурации).

Cipher cipher = Cipher.getInstance("AES");
cipher.init(Cipher.ENCRYPT_MODE, skey);
byte[] encrypted = cipher.doFinal(plainText.getBytes());

Обходной путь для отсутствия поддержки AES-256 заключается в том, чтобы взять некоторую свободно доступную реализацию AES-256 и использовать ее в качестве пользовательского поставщика. Это включает в себя создание собственного Providerподкласса и использование его с Cipher.getInstance(String, Provider). Но это может быть сложным процессом.

Waqas
источник
5
Вы должны всегда указывать режим и алгоритм заполнения. Java по умолчанию использует небезопасный режим ECB.
Maarten Bodewes
Вы не можете создать своего собственного провайдера, провайдеры должны быть подписаны (не могу поверить, что я сначала перечитал эту ошибку). Даже если бы вы могли, ограничение размера ключа заключается в реализации Cipher, а не в самом поставщике. Вы можете использовать AES-256 в Java 8 и ниже, но вам нужно использовать собственный API. Или среда выполнения, которая не накладывает ограничений на размер ключа, конечно.
Мартен Бодьюз
Последние версии OpenJDK (и Android) не имеют ограничений на добавление вашего собственного провайдера безопасности / шифрования. Но вы делаете это на свой страх и риск, конечно. Если вы забудете регулярно обновлять свои библиотеки, вы можете подвергнуть себя угрозе безопасности.
Мартен Бодевес
1
@ MaartenBodewes + У OpenJDK никогда не было проблемы с «ограниченной политикой шифрования», и Oracle JDK удалил ее более года назад для версий 8u161 и 9 (и, возможно, некоторых более низких версий с платой только сейчас, но я их не проверял)
dave_thompson_085
6

В прошлом я делал хеширование ключа через что-то вроде SHA256, затем извлекал байты из хэша в байт ключа [].

После того, как у вас есть ваш байт [], вы можете просто сделать:

SecretKeySpec key = new SecretKeySpec(keyBytes, "AES");
Cipher cipher = Cipher.getInstance("AES");
cipher.init(Cipher.ENCRYPT_MODE, key);
byte[] encryptedBytes = cipher.doFinal(clearText.getBytes());
DarkSquid
источник
12
Для других: это не очень безопасный метод. Вы должны использовать PBKDF 2, указанный в PKCS # 5. Эриксон сказал, как это сделать выше. Метод DarkSquid уязвим для парольных атак и также не работает, если размер вашего открытого текста не кратен размеру блока AES (128 бит), потому что он исключил заполнение. Также это не определяет режим; прочитайте режимы работы блочного шифра Википедии для беспокойства.
Hut8
1
@DarkSquid Cipher aes256 = Cipher.getInstance("AES/OFB/NoPadding"); MessageDigest keyDigest = MessageDigest.getInstance("SHA-256"); byte[] keyHash = keyDigest.digest(secret.getBytes("UTF-8")); SecretKeySpec key = new SecretKeySpec(keyHash, "AES"); aes256.init(Cipher.DECRYPT_MODE, key, new IvParameterSpec(initializationVector)); Я также делаю то же самое, что было предложено в вашем ответе, но я все еще получаю исключение java.security.InvalidKeyException: Недопустимый размер ключа Обязательно ли загружать файл политики JCE?
Ниранджан Субраманян
2
НЕ ИСПОЛЬЗУЙТЕ этот метод в любой производственной среде. При запуске шифрования на основе пароля многие пользователи перегружены стенами кода и не понимают, как работают атаки по словарю и другие простые хаки. В то время как это может быть неприятно, чтобы учиться, это стоит инвестиций, чтобы исследовать это. Вот хорошая статья для начинающих: adambard.com/blog/3-wrong-ways-to-store-a-password
IcedDante
1

В дополнение к правкам @ Wufoo, следующая версия использует InputStreams, а не файлы, чтобы упростить работу с различными файлами. Он также хранит IV и Salt в начале файла, что позволяет отслеживать только пароль. Поскольку IV и Соль не должны быть секретными, это делает жизнь немного легче.

import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;

import java.security.AlgorithmParameters;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.security.spec.InvalidKeySpecException;
import java.security.spec.InvalidParameterSpecException;
import java.security.spec.KeySpec;

import java.util.logging.Level;
import java.util.logging.Logger;

import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.CipherInputStream;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.PBEKeySpec;
import javax.crypto.spec.SecretKeySpec;

public class AES {
    public final static int SALT_LEN     = 8;
    static final String     HEXES        = "0123456789ABCDEF";
    String                  mPassword    = null;
    byte[]                  mInitVec     = null;
    byte[]                  mSalt        = new byte[SALT_LEN];
    Cipher                  mEcipher     = null;
    Cipher                  mDecipher    = null;
    private final int       KEYLEN_BITS  = 128;    // see notes below where this is used.
    private final int       ITERATIONS   = 65536;
    private final int       MAX_FILE_BUF = 1024;

    /**
     * create an object with just the passphrase from the user. Don't do anything else yet
     * @param password
     */
    public AES(String password) {
        mPassword = password;
    }

    public static String byteToHex(byte[] raw) {
        if (raw == null) {
            return null;
        }

        final StringBuilder hex = new StringBuilder(2 * raw.length);

        for (final byte b : raw) {
            hex.append(HEXES.charAt((b & 0xF0) >> 4)).append(HEXES.charAt((b & 0x0F)));
        }

        return hex.toString();
    }

    public static byte[] hexToByte(String hexString) {
        int    len = hexString.length();
        byte[] ba  = new byte[len / 2];

        for (int i = 0; i < len; i += 2) {
            ba[i / 2] = (byte) ((Character.digit(hexString.charAt(i), 16) << 4)
                                + Character.digit(hexString.charAt(i + 1), 16));
        }

        return ba;
    }

    /**
     * debug/print messages
     * @param msg
     */
    private void Db(String msg) {
        System.out.println("** Crypt ** " + msg);
    }

    /**
     * This is where we write out the actual encrypted data to disk using the Cipher created in setupEncrypt().
     * Pass two file objects representing the actual input (cleartext) and output file to be encrypted.
     *
     * there may be a way to write a cleartext header to the encrypted file containing the salt, but I ran
     * into uncertain problems with that.
     *
     * @param input - the cleartext file to be encrypted
     * @param output - the encrypted data file
     * @throws IOException
     * @throws IllegalBlockSizeException
     * @throws BadPaddingException
     */
    public void WriteEncryptedFile(InputStream inputStream, OutputStream outputStream)
            throws IOException, IllegalBlockSizeException, BadPaddingException {
        try {
            long             totalread = 0;
            int              nread     = 0;
            byte[]           inbuf     = new byte[MAX_FILE_BUF];
            SecretKeyFactory factory   = null;
            SecretKey        tmp       = null;

            // crate secureRandom salt and store  as member var for later use
            mSalt = new byte[SALT_LEN];

            SecureRandom rnd = new SecureRandom();

            rnd.nextBytes(mSalt);
            Db("generated salt :" + byteToHex(mSalt));
            factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");

            /*
             *  Derive the key, given password and salt.
             *
             * in order to do 256 bit crypto, you have to muck with the files for Java's "unlimted security"
             * The end user must also install them (not compiled in) so beware.
             * see here:  http://www.javamex.com/tutorials/cryptography/unrestricted_policy_files.shtml
             */
            KeySpec spec = new PBEKeySpec(mPassword.toCharArray(), mSalt, ITERATIONS, KEYLEN_BITS);

            tmp = factory.generateSecret(spec);

            SecretKey secret = new SecretKeySpec(tmp.getEncoded(), "AES");

            /*
             *  Create the Encryption cipher object and store as a member variable
             */
            mEcipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
            mEcipher.init(Cipher.ENCRYPT_MODE, secret);

            AlgorithmParameters params = mEcipher.getParameters();

            // get the initialization vectory and store as member var
            mInitVec = params.getParameterSpec(IvParameterSpec.class).getIV();
            Db("mInitVec is :" + byteToHex(mInitVec));
            outputStream.write(mSalt);
            outputStream.write(mInitVec);

            while ((nread = inputStream.read(inbuf)) > 0) {
                Db("read " + nread + " bytes");
                totalread += nread;

                // create a buffer to write with the exact number of bytes read. Otherwise a short read fills inbuf with 0x0
                // and results in full blocks of MAX_FILE_BUF being written.
                byte[] trimbuf = new byte[nread];

                for (int i = 0; i < nread; i++) {
                    trimbuf[i] = inbuf[i];
                }

                // encrypt the buffer using the cipher obtained previosly
                byte[] tmpBuf = mEcipher.update(trimbuf);

                // I don't think this should happen, but just in case..
                if (tmpBuf != null) {
                    outputStream.write(tmpBuf);
                }
            }

            // finalize the encryption since we've done it in blocks of MAX_FILE_BUF
            byte[] finalbuf = mEcipher.doFinal();

            if (finalbuf != null) {
                outputStream.write(finalbuf);
            }

            outputStream.flush();
            inputStream.close();
            outputStream.close();
            outputStream.close();
            Db("wrote " + totalread + " encrypted bytes");
        } catch (InvalidKeyException ex) {
            Logger.getLogger(AES.class.getName()).log(Level.SEVERE, null, ex);
        } catch (InvalidParameterSpecException ex) {
            Logger.getLogger(AES.class.getName()).log(Level.SEVERE, null, ex);
        } catch (NoSuchAlgorithmException ex) {
            Logger.getLogger(AES.class.getName()).log(Level.SEVERE, null, ex);
        } catch (NoSuchPaddingException ex) {
            Logger.getLogger(AES.class.getName()).log(Level.SEVERE, null, ex);
        } catch (InvalidKeySpecException ex) {
            Logger.getLogger(AES.class.getName()).log(Level.SEVERE, null, ex);
        }
    }

    /**
     * Read from the encrypted file (input) and turn the cipher back into cleartext. Write the cleartext buffer back out
     * to disk as (output) File.
     *
     * I left CipherInputStream in here as a test to see if I could mix it with the update() and final() methods of encrypting
     *  and still have a correctly decrypted file in the end. Seems to work so left it in.
     *
     * @param input - File object representing encrypted data on disk
     * @param output - File object of cleartext data to write out after decrypting
     * @throws IllegalBlockSizeException
     * @throws BadPaddingException
     * @throws IOException
     */
    public void ReadEncryptedFile(InputStream inputStream, OutputStream outputStream)
            throws IllegalBlockSizeException, BadPaddingException, IOException {
        try {
            CipherInputStream cin;
            long              totalread = 0;
            int               nread     = 0;
            byte[]            inbuf     = new byte[MAX_FILE_BUF];

            // Read the Salt
            inputStream.read(this.mSalt);
            Db("generated salt :" + byteToHex(mSalt));

            SecretKeyFactory factory = null;
            SecretKey        tmp     = null;
            SecretKey        secret  = null;

            factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");

            KeySpec spec = new PBEKeySpec(mPassword.toCharArray(), mSalt, ITERATIONS, KEYLEN_BITS);

            tmp    = factory.generateSecret(spec);
            secret = new SecretKeySpec(tmp.getEncoded(), "AES");

            /* Decrypt the message, given derived key and initialization vector. */
            mDecipher = Cipher.getInstance("AES/CBC/PKCS5Padding");

            // Set the appropriate size for mInitVec by Generating a New One
            AlgorithmParameters params = mDecipher.getParameters();

            mInitVec = params.getParameterSpec(IvParameterSpec.class).getIV();

            // Read the old IV from the file to mInitVec now that size is set.
            inputStream.read(this.mInitVec);
            Db("mInitVec is :" + byteToHex(mInitVec));
            mDecipher.init(Cipher.DECRYPT_MODE, secret, new IvParameterSpec(mInitVec));

            // creating a decoding stream from the FileInputStream above using the cipher created from setupDecrypt()
            cin = new CipherInputStream(inputStream, mDecipher);

            while ((nread = cin.read(inbuf)) > 0) {
                Db("read " + nread + " bytes");
                totalread += nread;

                // create a buffer to write with the exact number of bytes read. Otherwise a short read fills inbuf with 0x0
                byte[] trimbuf = new byte[nread];

                for (int i = 0; i < nread; i++) {
                    trimbuf[i] = inbuf[i];
                }

                // write out the size-adjusted buffer
                outputStream.write(trimbuf);
            }

            outputStream.flush();
            cin.close();
            inputStream.close();
            outputStream.close();
            Db("wrote " + totalread + " encrypted bytes");
        } catch (Exception ex) {
            Logger.getLogger(AES.class.getName()).log(Level.SEVERE, null, ex);
        }
    }

    /**
     * adding main() for usage demonstration. With member vars, some of the locals would not be needed
     */
    public static void main(String[] args) {

        // create the input.txt file in the current directory before continuing
        File   input   = new File("input.txt");
        File   eoutput = new File("encrypted.aes");
        File   doutput = new File("decrypted.txt");
        String iv      = null;
        String salt    = null;
        AES    en      = new AES("mypassword");

        /*
         * write out encrypted file
         */
        try {
            en.WriteEncryptedFile(new FileInputStream(input), new FileOutputStream(eoutput));
            System.out.printf("File encrypted to " + eoutput.getName() + "\niv:" + iv + "\nsalt:" + salt + "\n\n");
        } catch (IllegalBlockSizeException | BadPaddingException | IOException e) {
            e.printStackTrace();
        }

        /*
         * decrypt file
         */
        AES dc = new AES("mypassword");

        /*
         * write out decrypted file
         */
        try {
            dc.ReadEncryptedFile(new FileInputStream(eoutput), new FileOutputStream(doutput));
            System.out.println("decryption finished to " + doutput.getName());
        } catch (IllegalBlockSizeException | BadPaddingException | IOException e) {
            e.printStackTrace();
        }
    }
}
Doug
источник
1
Кажется, что это решение использует некоторую неловкую обработку буфера и обработку исключений на уровне ниже подпрограммы, в основном регистрируя их и затем забывая о них. Имейте в виду, что использование CBC - это нормально для файлов, но не для безопасности транспорта. Конечно, можно защитить использование PBKDF2 и AES, в этом смысле это может стать хорошей основой для решения.
Maarten Bodewes
1

(Может быть полезно для других с аналогичным требованием)

У меня было похожее требование использовать AES-256-CBCшифрование и дешифрование в Java.

Для достижения (или определения) 256-байтового шифрования / дешифрования Java Cryptography Extension (JCE)политика должна быть установлена ​​на"Unlimited"

Это может быть установлено в java.securityфайле в разделе $JAVA_HOME/jre/lib/security(для JDK) или $JAVA_HOME/lib/security(для JRE)

crypto.policy=unlimited

Или в коде как 

Security.setProperty("crypto.policy", "unlimited");

В Java 9 и более поздних версиях эта функция включена по умолчанию.

Praveen
источник
0

Подумайте об использовании Encryptor4j, автором которого я являюсь.

Прежде чем продолжить, убедитесь, что у вас установлены файлы Политики неограниченной юрисдикции, чтобы вы могли использовать 256-битные ключи AES.

Затем сделайте следующее:

String password = "mysupersecretpassword"; 
Key key = KeyFactory.AES.keyFromPassword(password.toCharArray());
Encryptor encryptor = new Encryptor(key, "AES/CBC/PKCS7Padding", 16);

Теперь вы можете использовать шифратор для шифрования вашего сообщения. Вы также можете выполнить потоковое шифрование, если хотите. Он автоматически генерирует и добавляет безопасный IV для вашего удобства.

Если это файл, который вы хотите сжать, взгляните на этот ответ. Шифрование большого файла в AES с использованием JAVA для еще более простого подхода.

Белолобый
источник
2
Привет, Мартин, ты всегда должен указывать, что ты автор библиотеки, если хочешь на это указать. Есть множество криптооболочек, пытающихся упростить процесс. Есть ли у него бумага для защиты или она получила какие-либо отзывы, чтобы она того стоила?
Мартен Бодьюс
-1

Используйте этот класс для шифрования. Оно работает.

public class ObjectCrypter {


    public static byte[] encrypt(byte[] ivBytes, byte[] keyBytes, byte[] mes) 
            throws NoSuchAlgorithmException,
            NoSuchPaddingException,
            InvalidKeyException,
            InvalidAlgorithmParameterException,
            IllegalBlockSizeException,
            BadPaddingException, IOException {

        AlgorithmParameterSpec ivSpec = new IvParameterSpec(ivBytes);
        SecretKeySpec newKey = new SecretKeySpec(keyBytes, "AES");
        Cipher cipher = null;
        cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
        cipher.init(Cipher.ENCRYPT_MODE, newKey, ivSpec);
        return  cipher.doFinal(mes);

    }

    public static byte[] decrypt(byte[] ivBytes, byte[] keyBytes, byte[] bytes) 
            throws NoSuchAlgorithmException,
            NoSuchPaddingException,
            InvalidKeyException,
            InvalidAlgorithmParameterException,
            IllegalBlockSizeException,
            BadPaddingException, IOException, ClassNotFoundException {

        AlgorithmParameterSpec ivSpec = new IvParameterSpec(ivBytes);
        SecretKeySpec newKey = new SecretKeySpec(keyBytes, "AES");
        Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
        cipher.init(Cipher.DECRYPT_MODE, newKey, ivSpec);
        return  cipher.doFinal(bytes);

    }
}

И это ivBytes и случайный ключ;

String key = "e8ffc7e56311679f12b6fc91aa77a5eb";

byte[] ivBytes = { 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 };
keyBytes = key.getBytes("UTF-8");
инженер
источник
10
"это работает" .... да, но оно не отвечает требованиям для создания криптографически безопасного решения (и, на мой взгляд, не соответствует стандартам Java-кодирования в отношении обработки исключений).
Мартен Бодевес
2
IV инициализируется до нуля. Поиск BEAST и ACPA атак.
Мишель Джузеппе Фадда
Исключения составляют wazoo, метод генерации «случайного» ключа и нулевой IV - проблема с этой реализацией, но эти проблемы тривиально исправить. +1.
Фил
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.