1

我正在尝试使用 BouncyCastle 在运行 mbedTLS 的嵌入式设备和 Java 之间进行 ECDH。当我比较生成的密钥长度时,我得到一个 mbedTLS 制作的 66 字节密钥和 BC 制作的 65 字节密钥。附上伪代码:

KeyPairGenerator kpg = KeyPairGenerator.getInstance("EC", "BC");
kpg.initialize(256);
KeyPair localKp = kpg.generateKey();

ASN1Sequence sequence = DERSequence.getInstance(localKp.getPublic().getEncoded());
DERBitString subjectPublicKey = (DERBitString) sequence.getObjectAt(1);
byte[] encodedLocalPublicKey = subjectPublicKey.getBytes();
// encodedLocalPublicKey.length -> 65

MbedTLS:

mbedtls_ecdh_context ecdh;
mbedtls_ctr_drbg_context ctr_drbg;
mbedtls_entropy_context entropy;
const char pers[] = "ecdh";

mbedtls_ctr_drbg_init(&ctr_drbg);
mbedtls_entropy_init(&entropy);
mbedtls_ecdh_init(&ecdh);

int ret = 0;
if((ret = mbedtls_ctr_drbg_seed( &ctr_drbg, mbedtls_entropy_func, &entropy,
                               (const unsigned char *) pers,
                               sizeof pers )) != 0) {
    mbedtls_printf( " failed\n  ! mbedtls_ctr_drbg_seed returned %d\n", ret );
}

ret = mbedtls_ecp_group_load(&ecdh.grp, MBEDTLS_ECP_DP_SECP256R1);
if (ret != 0) {
    mbedtls_printf( " failed\n  ! mbedtls_ecp_group_load returned %d\n", ret );
}

size_t olen;
unsigned char buf[1024];
ret = mbedtls_ecdh_make_public(&ecdh, &olen, buf, sizeof(buf), mbedtls_ctr_drbg_random, &ctr_drbg);
// ret is 0, olen is 66

当我将 MbedTLS 密钥加载到 Java 中时,它会抛出 java.lang.IllegalArgumentException: Invalid point encoding 0x41 :

byte[] publicKeyBytes = ... FROM MbedTLS
log.info("Public key length: {}", publicKeyBytes.length); // Shows 66
ECParameterSpec ecSpec = ECNamedCurveTable.getParameterSpec("P-256");
ECPoint point = ecSpec.getCurve().decodePoint(publicKeyBytes); // This line throws

我尝试在 Java 和 MbedTLS 之间做 ECDH Java。两个测试都成功了,但他们无法跨平台交换。

我究竟做错了什么?对不起,也许是明显的问题,但我正在努力解决它。我将不胜感激。

谢谢你。

4

1 回答 1

3

来自APImbedtls_ecdh_make_public文档:

此函数生成一个公钥并将其导出为 TLS ClientKeyExchange 有效负载。

所以这是一个特定于 TLS 的函数。从例如RFC 8442中,我们看到椭圆曲线点的编码是:

struct {
    opaque point <1..2^8-1>;
} ECPoint;

这需要熟悉 TLS 表示语言,但最终它相当于:TLS 在通常的点编码的开头添加一个额外的(无符号)字节,该字节将包含余数的长度。

在您的示例中,您可以看到 mbedtls 输出 66 个字节。第一个字节包含值 65,这是输出其余部分的长度,最后的 65 个字节与 BC 使用的格式相同。您将需要提取最后 65 个字节,或以某种方式忽略第一个字节。

PS 您在 Java 中生成 KeyPair 的方式非常脆弱,因为您只指定了大小而不是确切的曲线。对于 256 位,BC 确实默认为 P-256,但这不是必需的行为,其他提供者(或某些未来的 BC 版本)可能会选择其他一些曲线。最好显式生成 P-256 密钥对。我还建议使用更清晰的代码来获取 Java 版本中的公钥编码:

byte[] spkiEnc = localKp.getPublic().getEncoded();
SubjectPublicKeyInfo spki = SubjectPublicKeyInfo.getInstance(spkiEnc);
byte[] encodedLocalPublicKey = spki.getPublicKeyData().getOctets();
于 2020-06-18T08:01:40.440 回答