8

我正在编写一个应用程序服务器,我决定使用 AES128/CTR/NoPadding 来保护连接,因为它被认为足够安全,而不必将字节扩展到块边界,我认为它非常适合 TCP逻辑上是无缝流。

问题是 Cipher.update() 不会返回加密的块,直到它有一个完整的 16 字节块,因为 CTR 基本上基于块密码,虽然模拟了流密码。我应该从 tcp 套接字读取数据并在消息到达后立即处理它们,但我无法检索最新的块,因为它仍在构建中并且它的大小小于 16 字节。我不能等待,因为我们不知道下一条消息何时发送。当然,我可以调用 Cipher.doFinal() 来获取剩余部分,但这意味着流(连接)的结束,并且 Cipher 对象将被重新初始化。

我认为如果有办法偷看结转情况会很好。CTR 只是将纯文本与密钥流进行异或运算,因此无论块中的其余字节如何,我都应该能够获得加密数据。这个问题会有一个很好的解决方法吗?我正在考虑编写一个包装器,用零加密假纯文本以提前获取密钥流并手动进行异或,但我想知道其他人是如何解决这个问题的。

更新

我正在开发一个 Android 应用程序,结果发现这是 Dalvik VM 的问题。正如 Robert 和 monnand 在下面指出的,Java SE 至少在默认提供程序中没有这个问题。我想我必须编写一个包装类或将模式更改为 CFB8 来解决这个问题。(CTR8 无效)感谢所有回复!

4

3 回答 3

5

我刚刚使用 Oracle Java 1.7 在 CTR 模式下测试了 AES,但无法验证您的观察结果:

Cipher c = Cipher.getInstance("AES/CTR/NoPadding");
KeyGenerator kg = KeyGenerator.getInstance("AES");
c.init(Cipher.ENCRYPT_MODE, kg.generateKey());
System.out.println(c.update(new byte[1]).length);  // output: 1
System.out.println(c.update(new byte[20]).length); // output: 20

可能是您使用了有缺陷的第三方实现,因为“AES128/CTR/NoPadding”不是我系统上的已知密码。

于 2013-04-30T11:19:56.877 回答
4

我今天遇到了完全相同的问题,刚刚解决了。

问题是您的提供者,可能是Bouncy Castle。当您调用时getInstance(),只需提供您的算法的名称(在我的例子中是“AES/CTR/NoPadding”)。不要指定提供者。

让代码解释一下:

正如@Robert 所说,以下代码可以正常工作:

Cipher c = Cipher.getInstance("AES/CTR/NoPadding");
KeyGenerator kg = KeyGenerator.getInstance("AES");
c.init(Cipher.ENCRYPT_MODE, kg.generateKey());
System.out.println(c.update(new byte[1]).length);  // output: 1
System.out.println(c.update(new byte[20]).length); // output: 20

但是,如果您将提供程序指定为“BC”,则将是错误的:

Cipher c = Cipher.getInstance("AES/CTR/NoPadding", "BC");
KeyGenerator kg = KeyGenerator.getInstance("AES");
c.init(Cipher.ENCRYPT_MODE, kg.generateKey());
System.out.println(c.update(new byte[20]).length); // output: 16
System.out.println(c.update(new byte[1]).length);  // null pointer exception

它可以被认为是 Bouncy Castle 的错误,或者是一种(奇怪但合理的)功能。

于 2013-04-30T20:19:39.233 回答
0

我不必自己解决这个问题,但一种解决方法是手动生成密钥流并自己处理 XORing。

也就是说,每当您需要新数据与密文进行异或运算时,您将切换AES/CTR/NoPaddingAES/ECB/NoPadding并重复加密递增的计数器值。

远非理想,但我想它会奏效。

于 2013-04-30T07:34:29.887 回答