给定未正确填充的最终块

exception java encryption cryptography javax.crypto

2022-08-31 08:10:00

我正在尝试实现基于密码的加密算法，但我得到这个例外：

javax.crypto.BadPaddingException：给定最终块未正确填充

可能是什么问题？

这是我的代码：

public class PasswordCrypter {

    private Key key;

    public PasswordCrypter(String password)  {
        try{
            KeyGenerator generator;
            generator = KeyGenerator.getInstance("DES");
            SecureRandom sec = new SecureRandom(password.getBytes());
            generator.init(sec);
            key = generator.generateKey();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }


    public byte[] encrypt(byte[] array) throws CrypterException {
        try{
            Cipher cipher = Cipher.getInstance("DES/ECB/PKCS5Padding");
            cipher.init(Cipher.ENCRYPT_MODE, key);

            return cipher.doFinal(array);
        } catch (Exception e) { 
            e.printStackTrace();
        }
        return null;
    }

    public byte[] decrypt(byte[] array) throws CrypterException{
        try{
            Cipher cipher = Cipher.getInstance("DES/ECB/PKCS5Padding");
            cipher.init(Cipher.DECRYPT_MODE, key);

            return cipher.doFinal(array);
        } catch(Exception e ){
            e.printStackTrace();
        }
        return null;
    }
}

（JUnit 测试）

public class PasswordCrypterTest {

    private static final byte[] MESSAGE = "Alpacas are awesome!".getBytes();
    private PasswordCrypter[] passwordCrypters;
    private byte[][] encryptedMessages;

    @Before
    public void setUp() {
        passwordCrypters = new PasswordCrypter[] {
            new PasswordCrypter("passwd"),
            new PasswordCrypter("passwd"),
            new PasswordCrypter("otherPasswd")
        };

        encryptedMessages = new byte[passwordCrypters.length][];
        for (int i = 0; i < passwordCrypters.length; i++) {
            encryptedMessages[i] = passwordCrypters[i].encrypt(MESSAGE);
        }
    }

    @Test
    public void testEncrypt() {
        for (byte[] encryptedMessage : encryptedMessages) {
            assertFalse(Arrays.equals(MESSAGE, encryptedMessage));
        }

        assertFalse(Arrays.equals(encryptedMessages[0], encryptedMessages[2]));
        assertFalse(Arrays.equals(encryptedMessages[1], encryptedMessages[2]));
    }

    @Test
    public void testDecrypt() {
        for (int i = 0; i < passwordCrypters.length; i++) {
            assertArrayEquals(MESSAGE, passwordCrypters[i].decrypt(encryptedMessages[i]));
        }

        assertArrayEquals(MESSAGE, passwordCrypters[0].decrypt(encryptedMessages[1]));
        assertArrayEquals(MESSAGE, passwordCrypters[1].decrypt(encryptedMessages[0]));

        try {
            assertFalse(Arrays.equals(MESSAGE, passwordCrypters[0].decrypt(encryptedMessages[2])));
        } catch (CrypterException e) {
            // Anything goes as long as the above statement is not true.
        }

        try {
            assertFalse(Arrays.equals(MESSAGE, passwordCrypters[2].decrypt(encryptedMessages[1])));
        } catch (CrypterException e) {
            // Anything goes as long as the above statement is not true.
        }
    }
}

答案 1

如果您尝试使用错误的密钥解密 PKCS5 填充的数据，然后将其取消填充（由密码类自动完成），则很可能会得到 BadPaddingException（可能略小于 255/256，约为 99.61%），因为填充具有在取消填充期间验证的特殊结构，并且很少有键会产生有效的填充。

因此，如果您遇到此异常，请捕获它并将其视为“错误键”。

当您提供错误的密码时，也可能发生这种情况，然后使用该密码从密钥库获取密钥，或者使用密钥生成功能将其转换为密钥。

当然，如果数据在传输过程中损坏，也会发生错误的填充。

也就是说，有一些关于您的方案的安全注意事项：

对于基于密码的加密，您应该使用 SecretKeyFactory 和 PBEKeySpec，而不是将 SecureRandom 与 KeyGenerator 一起使用。原因是 SecureRandom 可能是每个 Java 实现上不同的算法，从而为您提供不同的密钥。SecretKeyFactory以定义的方式进行密钥派生（如果您选择正确的算法，则认为这种方式是安全的）。
不要使用 ECB 模式。它独立加密每个块，这意味着相同的纯文本块也提供始终相同的密文块。

最好使用安全的操作模式，如CBC（密码块链接）或CTR（计数器）。或者，使用也包括身份验证的模式，如GCM（伽罗瓦计数器模式）或CCM（带CBC-MAC的计数器），请参阅下一点。
您通常不仅需要机密性，还希望进行身份验证，这可确保消息不被篡改。（这还可以防止对您的密码进行选择密文攻击，即有助于保密。因此，在消息中添加MAC（消息身份验证代码），或使用包含身份验证的密码模式（请参阅上一点）。
DES 的有效密钥大小仅为 56 位。这个密钥空间非常小，它可以在几个小时内被专门的攻击者暴力破解。如果您通过密码生成密钥，这将变得更加快。此外，DES的块大小仅为64位，这在链接模式下增加了一些弱点。使用像AES这样的现代算法，它的块大小为128位，密钥大小为128位（对于最常见的变体，还存在196和256的变体）。

答案 2

当您为签名密钥输入错误的密码时，这也可能是一个问题。