4

我使用 BouncyCastle API 实现了椭圆曲线 Diffie Hellman 密码学。但是,关键协议似乎并没有正常工作。它打印错误。

我哪里做错了?谢谢你。

ECParameterSpec ecSpec = ECNamedCurveTable.getParameterSpec("B-571");

    KeyPairGenerator g = KeyPairGenerator.getInstance("ECDH", "BC");

    g.initialize(ecSpec, new SecureRandom());

    KeyPair aKeyPair = g.generateKeyPair();

    KeyAgreement aKeyAgree = KeyAgreement.getInstance("ECDH", "BC");

    aKeyAgree.init(aKeyPair.getPrivate());

     KeyPair bKeyPair = g.generateKeyPair();

    KeyAgreement bKeyAgree = KeyAgreement.getInstance("ECDH", "BC");

    bKeyAgree.init(bKeyPair.getPrivate());

    //
    // agreement
    //
    aKeyAgree.doPhase(bKeyPair.getPublic(), true);
    bKeyAgree.doPhase(aKeyPair.getPublic(), true);

    byte[] aSecret = aKeyAgree.generateSecret();
    byte[] bSecret = bKeyAgree.generateSecret();

    System.out.println(aSecret);
    System.out.println(bSecret);
    if (aSecret.equals(bSecret)){
        return true;
    } else { return false; }
4

1 回答 1

9

当我使用 Bouncy Castle 1.49 进行测试时,它确实可以正常工作。但是,您正在使用错误的方法进行比较。

要打印出字节数组的内容,请使用Arrays.toString

System.out.println(Arrays.toString(aSecret));
System.out.println(Arrays.toString(bSecret));
return MessageDigest.isEqual(aSecret, bSecret);

编辑:OP要求我解释“时间常数比较”的含义,所以这里是:时间常数比较需要相同的时间来运行,无论两个字符串是否匹配。如果两个字符串不匹配,非时间常数比较通常会花费更少的时间来运行,并且运行时间取决于不匹配的位置:发现第一个不匹配时比较停止。

是否需要时间常数比较取决于您是否有计时预言机。也就是说,比较所花费的时间会给攻击者提供有用的信息吗?

下面是一个定时预言机的例子:假设你是一个向浏览器发送 cookie 的 Web 服务器。您不希望用户篡改 cookie,因此您附加了 cookie 内容的 HMAC:

cookie_to_send = hmac(cookie) + ":" + cookie

现在,当浏览器将 cookie 发送回给您时,您重新计算 HMAC 并查看它是否匹配:

mac, cookie = received_cookie.split(":")
compare(mac, hmac(cookie))

如果比较失败( 与mac不匹配hmac(cookie)),那么您拒绝该请求。

在上述compare操作中,这是一个恒定时间比较非常非常重要。否则,攻击者可以查看您的服务器拒绝请求所用的时间,并使用它来推断预期的 HMAC 值是多少。这是因为比较的一个组成部分(cookie 中的 HMAC 值,在第一个 之前:)由攻击者控制,攻击者可以逐字节调整其值,以查看每次拒绝需要多长时间。

在您的情况下,您的字节数组(您正在比较的)是从生成的generateSecret(),这表明它不是攻击者控制的。因此,从表面上看,似乎没有必要进行时间常数比较。但我不是安全专家,所以我不确定。使用时间常数比较总是安全的(但可能会很慢,如果要比较的字符串很长),所以如果不确定,这就是我的建议。

于 2013-08-20T05:00:10.653 回答