PBKDF2 与 Java 中的弹跳城堡

java jce bouncycastle pbkdf2

2022-09-01 02:40:41

我正在尝试安全地将密码存储在数据库中，为此我选择存储使用PBKDF2函数生成的哈希值。我想使用充气城堡库执行此操作，但我不知道为什么我无法使用JCE界面使其工作...问题是以3种不同的模式生成哈希：
1.使用Sun
2提供的PBKDF2WithHmacSHA1密钥工厂。直接
使用充气城堡 API 3.通过JCE
使用充气城堡会产生2个不同的值：一个与前两个值相同，另一个与第三个值相同。

这是我的代码：

    //Mode 1

    SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
    KeySpec keyspec = new PBEKeySpec("password".toCharArray(), salt, 1000, 128);
    Key key = factory.generateSecret(keyspec);
    System.out.println(key.getClass().getName());
    System.out.println(Arrays.toString(key.getEncoded()));

    //Mode 2

    PBEParametersGenerator generator = new PKCS5S2ParametersGenerator();
    generator.init(PBEParametersGenerator.PKCS5PasswordToUTF8Bytes(("password").toCharArray()), salt, 1000);
    KeyParameter params = (KeyParameter)generator.generateDerivedParameters(128);
    System.out.println(Arrays.toString(params.getKey()));

    //Mode 3

    SecretKeyFactory factorybc = SecretKeyFactory.getInstance("PBEWITHHMACSHA1", "BC");
    KeySpec keyspecbc = new PBEKeySpec("password".toCharArray(), salt, 1000, 128);
    Key keybc = factorybc.generateSecret(keyspecbc);
    System.out.println(keybc.getClass().getName());
    System.out.println(Arrays.toString(keybc.getEncoded()));
    System.out.println(keybc.getAlgorithm());

我知道PBKDF2是使用HMAC SHA1实现的，这就是为什么我在上一种方法中选择“PBEWITHHMACSHA1”作为算法，我从弹性城堡java文档中获取。

输出如下：

com.sun.crypto.provider.SunJCE_ae
[-53, 29, 113, -110, -25, 76, 115, -127, -64, 74, -63, 102, 75, 81, -21, 74]
[-53, 29, 113, -110, -25, 76, 115, -127, -64, 74, -63, 102, 75, 81, -21, 74]
org.bouncycastle.jce.provider.JCEPBEKey
[14, -47, -87, -16, -117, -31, 91, -121, 90, -68, -82, -31, -27, 5, -93, -67, 30, -34, -64, -40]
PBEwithHmacSHA

有什么想法吗？

答案 1

简而言之，差异的原因是模式 #1 和 #2 中的 PBKDF2 算法使用 PKCS #5 v2 方案 2 （PKCS5S2）进行迭代密钥生成，但模式 #3 中“PBEWITHHMACSHA1”的 BouncyCastle 提供程序使用 PKCS #12 v1 （PKCS12）算法。这些是完全不同的密钥生成算法，因此您会得到不同的结果。

下面将详细介绍为什么会这样以及为什么会得到不同大小的结果。

首先，当您构造 JCE KeySpec 时，keyLength 参数仅向提供程序表示所需的密钥大小的“首选项”。来自 API 文档：

注意：这用于指示可变密钥大小密码对密钥长度的首选项。实际密钥大小取决于每个提供程序的实现。

从JCEPBEKey的来源来看，Bouncy Castle提供程序似乎不尊重此参数，因此您应该期望从使用JCE API时使用SHA-1的任何BC提供程序获得160位密钥。

您可以通过以编程方式访问测试代码中返回变量上的方法来确认这一点：getKeySize()keybc

Key keybc = factorybc.generateSecret(keyspecbc);
// ...
Method getKeySize = JCEPBEKey.class.getDeclaredMethod("getKeySize");
getKeySize.setAccessible(true);
System.out.println(getKeySize.invoke(keybc)); // prints '160'

现在，要了解“PBEWITHHMACSHA1”提供程序对应的内容，您可以在BouncyCastleProvider的源代码中找到以下内容：

put("SecretKeyFactory.PBEWITHHMACSHA1", 
    "org.bouncycastle.jce.provider.JCESecretKeyFactory$PBEWithSHA");

JCESecretKeyFactory.PBEWithSHA的实现如下所示：

public static class PBEWithSHA
    extends PBEKeyFactory
{
    public PBEWithSHA()
    {
        super("PBEwithHmacSHA", null, false, PKCS12, SHA1, 160, 0);
    }
}

您可以在上面看到，此密钥工厂使用 PKCS #12 v1 （PKCS12）算法进行迭代密钥生成。但是，要用于密码哈希的 PBKDF2 算法使用 PKCS #5 v2 方案 2 （PKCS5S2）。这就是为什么你会得到不同的结果。

我快速浏览了注册的 JCE 提供程序，但根本看不到任何使用 PKCS5S2 的密钥生成算法，更不用说也将其与 HMAC-SHA-1 一起使用的算法了。BouncyCastleProvider

所以我想你要么使用Sun实现（上面的模式#1）并在其他JVM上失去可移植性，要么直接使用Bouncy Castle类（上面的模式#2）并在运行时需要BC库。

无论哪种方式，您都应该切换到 160 位密钥，这样您就不会不必要地截断生成的 SHA-1 哈希。

答案 2

我发现了一个BC Crypto-Only方法（实际上来自BC的cms包），它可以产生基于UTF-8的密码编码。通过这种方式，我可以生成兼容的KDF输出

http://packages.python.org/passlib/lib/passlib.hash.cta_pbkdf2_sha1.html#passlib.hash.cta_pbkdf2_sha1

private byte[] calculatePasswordDigest(char[] pass, byte[] salt, int iterations)
    throws PasswordProtectionException
{
    try
    {
        /* JCE Version (does not work as BC uses PKCS12 encoding)
        SecretKeyFactory kf = SecretKeyFactory.getInstance("PBEWITHHMACSHA1","BC");
        PBEKeySpec ks = new PBEKeySpec(pass, salt, iterations,160);
        SecretKey digest = kf.generateSecret(ks);
        return digest.getEncoded();
        */
        PKCS5S2ParametersGenerator gen = new PKCS5S2ParametersGenerator();
        gen.init(PBEParametersGenerator.PKCS5PasswordToUTF8Bytes(pass), salt, iterations);
        byte[] derivedKey = ((KeyParameter)gen.generateDerivedParameters(160)).getKey();
        return derivedKey;
    }
    catch(Exception e)
    {
        LOG.error("Failed to strengthen the password with PBKDF2.",e);
        throw new PasswordProtectionException();
    }
}