加密和序列化一个---反序列化和另一个解密

Question

我有可序列化的对象：

import java.io.Serializable;

public class ConfigObject implements Serializable{

private String url;
private String user;
private String pass;

public String getUrl() {
    return url;
}

public void setUrl(String url) {
    this.url = url;
}

public String getUser() {
    return user;
}

public void setUser(String user) {
    this.user = user;
}

public String getPass() {
    return pass;
}

public void setPass(String pass) {
    this.pass = pass;
}        
}

SerializableEncryptDecrypt类中的

和2方法：

public static void encrypt(Serializable object, OutputStream ostream, byte[] keyy, String transformationnn) throws IOException, NoSuchAlgorithmException, NoSuchPaddingException, InvalidKeyException {
        try {
            // Length is 16 byte
            SecretKeySpec sks = new SecretKeySpec(keyy, transformationnn);

            // Create cipher
            Cipher cipher = Cipher.getInstance(transformationnn);
            cipher.init(Cipher.ENCRYPT_MODE, sks);
            SealedObject sealedObject = new SealedObject(object, cipher);

            // Wrap the output stream
            CipherOutputStream cos = new CipherOutputStream(ostream, cipher);
            ObjectOutputStream outputStream = new ObjectOutputStream(cos);
            outputStream.writeObject(sealedObject);
            outputStream.close();
        } catch (IllegalBlockSizeException e) {
            e.printStackTrace();
        }
    }

    public static Object decrypt(InputStream istream, byte[] keyy, String transformationnn) throws IOException, NoSuchAlgorithmException, NoSuchPaddingException, InvalidKeyException {
        SecretKeySpec sks = new SecretKeySpec(keyy, transformationnn);
        Cipher cipher = Cipher.getInstance(transformationnn);
        cipher.init(Cipher.DECRYPT_MODE, sks);

        CipherInputStream cipherInputStream = new CipherInputStream(istream, cipher);
        ObjectInputStream inputStream = new ObjectInputStream(cipherInputStream);
        SealedObject sealedObject;
        try {
            sealedObject = (SealedObject) inputStream.readObject();
            return sealedObject.getObject(cipher);
        } catch (ClassNotFoundException | IllegalBlockSizeException | BadPaddingException e) {
            e.printStackTrace();
            return null;
        }
    }

我制作了两个使用此类（SerializableEncryptDecrypt）的软件（soft1和soft2）。该软件加密和序列化输入数据（相同的输入数据）。当我将输出数据与我给出的输入进行比较时，数据完全不同。但我需要相同的输出数据。

提前感谢您的帮助。

Answer 1

使用一些盐（nonce，IV，...）随机加密是一个好习惯，因此，即使使用相同的密钥对相同的值进行加密，也可以（并且应该）获得不同的输出。在某些情况下，具有相同的输出会降低安全性。

我无法确定，但我敢打赌，这就是“SealedObject”的作用。如果您确实需要“相同的输出”，则可以直接序列化对象（不使用SealedObject）。但是 - 你负责存储salt，身份验证标签等。

请注意 - 如果您在某个真实项目中使用此代码，则不应存储密码（甚至是加密的），只有必要时才存储密码加密哈希值。