我使用BouncyCastle API实现了Elliptic Curve Diffie Hellman加密。但是,关键协议似乎并没有正常运作。它打印错误。
我哪里做错了?谢谢。
ECParameterSpec ecSpec = ECNamedCurveTable.getParameterSpec("B-571");
KeyPairGenerator g = KeyPairGenerator.getInstance("ECDH", "BC");
g.initialize(ecSpec, new SecureRandom());
KeyPair aKeyPair = g.generateKeyPair();
KeyAgreement aKeyAgree = KeyAgreement.getInstance("ECDH", "BC");
aKeyAgree.init(aKeyPair.getPrivate());
KeyPair bKeyPair = g.generateKeyPair();
KeyAgreement bKeyAgree = KeyAgreement.getInstance("ECDH", "BC");
bKeyAgree.init(bKeyPair.getPrivate());
//
// agreement
//
aKeyAgree.doPhase(bKeyPair.getPublic(), true);
bKeyAgree.doPhase(aKeyPair.getPublic(), true);
byte[] aSecret = aKeyAgree.generateSecret();
byte[] bSecret = bKeyAgree.generateSecret();
System.out.println(aSecret);
System.out.println(bSecret);
if (aSecret.equals(bSecret)){
return true;
} else { return false; }
答案 0 :(得分:9)
当我使用Bouncy Castle 1.49进行测试时,它确实可以正常工作。但是,您使用错误的方法进行比较。
MessageDigest.isEqual。Arrays.equals。要打印出字节数组的内容,请使用Arrays.toString:
System.out.println(Arrays.toString(aSecret));
System.out.println(Arrays.toString(bSecret));
return MessageDigest.isEqual(aSecret, bSecret);
编辑:OP让我解释什么是“时间常数比较”的含义,所以这里说:时间常数比较需要相同的运行时间,无论两个字符串是否匹配。如果两个字符串不匹配,则非时间常数比较通常需要较少的时间来运行,并且运行时间取决于不匹配的位置:比较在找到第一个不匹配时停止。
是否需要进行时间常数比较取决于您是否有计时oracle。也就是说,比较所花费的时间长度会给攻击者提供有用的信息吗?
这是一个计时oracle的例子:假设你是一个向浏览器发送cookie的web服务器。您不希望用户篡改cookie,因此您附加了cookie内容的HMAC:
cookie_to_send = hmac(cookie) + ":" + cookie
现在,当浏览器将cookie发回给您时,您重新计算HMAC并查看它是否匹配:
mac, cookie = received_cookie.split(":")
compare(mac, hmac(cookie))
如果比较失败(mac与hmac(cookie)不匹配),则拒绝该请求。
在上面的compare操作中,非常非常重要的是这是一个恒定时间的比较。否则,攻击者可以查看服务器拒绝请求所花费的时间,并使用它来推断出预期的HMAC值。这是因为比较的一个组成部分(cookie中的HMAC值,在第一个:之前)由攻击者控制,并且攻击者可以逐字节调整其值以查看拒绝所需的时间每一次。
在您的情况下,您的字节数组(您正在比较)是从generateSecret()生成的,这表明它不受攻击者控制。因此,从表面上看,似乎不需要进行时间常数比较。但我不是安全专家,所以我不确定。 总是安全的(但如果被比较的字符串很长,可能很慢)使用时间常数比较,所以如果不确定,这就是我的建议。