3

场景是这样的:我有一个客户端和服务器在交谈。这是标准的想法:

  • 使用 Diffie-Hellman 在客户端和服务器之间生成密钥。
  • 将此密钥用于客户端和服务器上的 AES/CTR/PKCS7Padding 密码。
  • 在原始消息上使用 Hmac
  • 使用 AES 密码加密 Hmac 消息

所以这将允许客户端和服务器安全地交谈。

我正在查看的相关代码示例是此处的教程:使用 HMac 篡改消息,在 CTR 模式下使用 AES 加密:高级加密标准 « 安全 « Java 教程

我能够为客户端和服务器生成密钥。我可以使用 Hmac 和 AES 对其进行加密。由于加密和解密是独立发生的,我不确定如何检索解密所需的相关信息。

这是我感到困惑的部分:

cipher.init(Cipher.DECRYPT_MODE, key, ivSpec);

byte[] plainText = cipher.doFinal(cipherText, 0, ctLength);
int messageLength = plainText.length - hMac.getMacLength();

hMac.init(hMacKey);
hMac.update(plainText, 0, messageLength);

byte[] messageHash = new byte[hMac.getMacLength()];

如果客户端发送加密消息,服务器如何检索ivSpechMac.getMacLength()hMacKey?服务器需要这些项目来解密来自客户端的消息。

我知道初始化向量(IV)可以从密文中保留,因为它被附加到结果密文的开头(我认为我必须手动添加它,因为我认为 AES 密码不会这样做?)。然而,用于验证消息完整性的 hMacKey 和 hMac 长度仍然是个谜。

最后一点,有人能解释一下这条线的目的是什么吗?这是用于加密还是解密?

     cipherText[9] ^= '0' ^ '9';`
4

1 回答 1

1

首先,对于这种事情,如果您真的这样做,请使用 SSL。出于教育目的,这些东西很酷。

正如其他人所说,这是一个证明 HMAC 在密文被篡改时有效的例子。因此cipherText[9] ^= '0' ^ '9';

为了使用 HMAC,您必须验证您使用密文获得的消息身份验证标签(由 hmac 返回的内容)是否与您应该拥有的标签匹配。要在此代码中执行此操作:1)使用您协商的密钥解密消息,2)使用您协商的不同密钥计算该文本的 hmac,然后 3)比较两者是否相同。

由于您知道这些密钥,因此您可以解密消息并计算 mac。顺便说一下,mac 长度是 hmac 函数的固定属性并且是众所周知的。

因为您必须拥有生成有效标签的密钥,如果它们匹配,则消息是真实的。

请注意,此代码可能不安全,因为您需要 MAC 密文,而不是明文。如果你不这样做,你最终会遇到像Padding oracle 攻击这样的问题,它破坏了一堆网站的安全 cookie 实现。对这类事情使用 SSL。

于 2012-03-06T00:35:15.080 回答