1

チュートリアルのこの単純なクラスを使用して、Androidアプリで文字列を暗号化し、JavaRESTバックエンドで復号化します。

package classes;


import java.security.NoSuchAlgorithmException;

import javax.crypto.Cipher;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;


public class MCrypt {

        private String iv = "fedcba9876543210"; 
        private IvParameterSpec ivspec;
        private SecretKeySpec keyspec;
        private Cipher cipher;

        private String SecretKey = "0123456789abcdef";

        public MCrypt()
        {
                ivspec = new IvParameterSpec(iv.getBytes());

                keyspec = new SecretKeySpec(SecretKey.getBytes(), "AES");

                try {
                    cipher = Cipher.getInstance("AES/CBC/NoPadding");
                } catch (NoSuchAlgorithmException e) {
                        e.printStackTrace();
                } catch (NoSuchPaddingException e) {
                        e.printStackTrace();
                }
        }

        public String encrypt(String text) throws Exception
        {
                if(text == null || text.length() == 0)
                        throw new Exception("Empty string");

                byte[] encrypted = null;

                try {
                        cipher.init(Cipher.ENCRYPT_MODE, keyspec, ivspec);

                        encrypted = cipher.doFinal(padString(text).getBytes());
                } catch (Exception e)
                {                       
                        throw new Exception("[encrypt] " + e.getMessage());
                }

                return bytesToHex(encrypted);
        }

        public String decrypt(String code) throws Exception
        {
                if(code == null || code.length() == 0)
                        throw new Exception("Empty string");

                byte[] decrypted = null;

                try {
                        cipher.init(Cipher.DECRYPT_MODE, keyspec, ivspec);

                        decrypted = cipher.doFinal(hexToBytes(code));

                } catch (Exception e)
                {
                       System.out.println(e.toString());
                }

                return new String(decrypted);
        }



        public static String bytesToHex(byte[] data)
        {
                if (data==null)
                {
                        return null;
                }

                int len = data.length;
                String str = "";
                for (int i=0; i<len; i++) {
                        if ((data[i]&0xFF)<16)
                                str = str + "0" + java.lang.Integer.toHexString(data[i]&0xFF);
                        else
                                str = str + java.lang.Integer.toHexString(data[i]&0xFF);
                }
                return str;
        }


        public static byte[] hexToBytes(String str) {
                if (str==null) {
                        return null;
                } else if (str.length() < 2) {
                        return null;
                } else {
                        int len = str.length() / 2;
                        byte[] buffer = new byte[len];
                        for (int i=0; i<len; i++) {
                                buffer[i] = (byte) Integer.parseInt(str.substring(i*2,i*2+2),16);
                        }
                        return buffer;
                }
        }



        private static String padString(String source)
        {
          char paddingChar = ' ';
          int size = 16;
          int x = source.length() % size;
          int padLength = size - x;

          for (int i = 0; i < padLength; i++)
          {
                  source += paddingChar;
          }

          return source;
        }
}

それは私の文字列をうまく解読します。改ざんされた暗号化された文字列を送信すると(暗号化された文字列内の文字を置き換え、復号化メソッドに「文字列コード」として入力されます)、byte []を変換しようとすると例外(NumberFormatException)が発生します。文字列に。

私は暗号化にまったく慣れておらず、基本を勉強する必要があることを知っています。

私が疑問に思っているのは、これは暗号化された文字列が有効かどうかを確認する通常の方法ですか?事前に確認できるブール法はありませんか?このままにしておくと、例外のスローはバックエンドサービスのパフォーマンスに悪影響を及ぼしますか?

編集:ここにスタックトレースがあります:

java.lang.NumberFormatException: For input string: "zf"
java.lang.NullPointerException
    at java.lang.String.<init>(String.java:601)
    at classes.MCrypt.decrypt(MCrypt.java:71)
    at service.Service.cryptotest(Service.java:340)
    at sun.reflect.GeneratedMethodAccessor1.invoke(Unknown Source)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
    at java.lang.reflect.Method.invoke(Method.java:616)
    at us.antera.t5restfulws.services.impl.RestfulWSDispatcher.invokeMethod(RestfulWSDispatcher.java:133)
    at us.antera.t5restfulws.services.impl.RestfulWSDispatcher.service(RestfulWSDispatcher.java:76)
    at $RequestHandler_15b88bc6f1e4.service(Unknown Source)
    at $RequestHandler_15b88bc6f1d7.service(Unknown Source)
    at org.apache.tapestry5.services.TapestryModule$HttpServletRequestHandlerTerminator.service(TapestryModule.java:253)
    at org.apache.tapestry5.internal.gzip.GZipFilter.service(GZipFilter.java:53)
    at $HttpServletRequestHandler_15b88bc6f1d9.service(Unknown Source)
    at org.apache.tapestry5.internal.services.IgnoredPathsFilter.service(IgnoredPathsFilter.java:62)
    at $HttpServletRequestFilter_15b88bc6f1d5.service(Unknown Source)
    at $HttpServletRequestHandler_15b88bc6f1d9.service(Unknown Source)
    at org.apache.tapestry5.services.TapestryModule$1.service(TapestryModule.java:852)
    at $HttpServletRequestHandler_15b88bc6f1d9.service(Unknown Source)
    at $HttpServletRequestHandler_15b88bc6f1d4.service(Unknown Source)
    at org.apache.tapestry5.TapestryFilter.doFilter(TapestryFilter.java:171)
    at org.mortbay.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1212)
    at org.mortbay.jetty.servlet.ServletHandler.handle(ServletHandler.java:399)
    at org.mortbay.jetty.security.SecurityHandler.handle(SecurityHandler.java:216)
    at org.mortbay.jetty.servlet.SessionHandler.handle(SessionHandler.java:182)
    at org.mortbay.jetty.handler.ContextHandler.handle(ContextHandler.java:766)
    at org.mortbay.jetty.webapp.WebAppContext.handle(WebAppContext.java:450)
    at org.mortbay.jetty.handler.HandlerWrapper.handle(HandlerWrapper.java:152)
    at org.mortbay.jetty.Server.handle(Server.java:326)
    at org.mortbay.jetty.HttpConnection.handleRequest(HttpConnection.java:542)
    at org.mortbay.jetty.HttpConnection$RequestHandler.headerComplete(HttpConnection.java:928)
    at org.mortbay.jetty.HttpParser.parseNext(HttpParser.java:549)
    at org.mortbay.jetty.HttpParser.parseAvailable(HttpParser.java:212)
    at org.mortbay.jetty.HttpConnection.handle(HttpConnection.java:404)
    at org.mortbay.io.nio.SelectChannelEndPoint.run(SelectChannelEndPoint.java:410)
    at org.mortbay.thread.QueuedThreadPool$PoolThread.run(QueuedThreadPool.java:582)

編集:さて、明らかに私は私の「テストシナリオ」でいくつかの新人の間違いを犯しました;)。有効な16ビットの16進文字列を使用して同じ呼び出しを試しましたが、の出力はdecrypt奇妙に見える文字列でした。これは私が期待したものでした。したがって、最初に着信暗号化文字列が有効な16進数であるかどうかを確認し、次にそれを復号化メソッドに送信してから、復号化された文字列に期待どおりの文字列が含まれているかどうかを確認します。どうもありがとうございました:)

4

2 に答える 2

1

したがって、一般的に言えば、暗号化/復号化は基礎となるデータを気にしません。つまり、任意のデータを暗号化でき、任意のデータを復号化できます。

とはいえ、出力形式について混乱しているようです。それ自体は文字列ではありませんが、16進数としてASCIIにエンコードされたバイナリデータです。理解せずに改ざんすると、意味のないエンコーディングになってしまいます。この場合、改ざんされた16進文字列は16進文字列ではなくなり、復号化のためにバイトストリームにデコードして戻すことはできません。有効な16進文字列には、文字[0-9a-f]のみを含めることができます。

編集:

あなたは、リクエストフォージェリを防止しようとしていると述べています。かなり長い道のりで進んでいるようですが、私は間違っているかもしれませんが、シナリオと達成しようとしていることを説明できれば、より簡単な解決策を考え出すことができるかもしれません。

于 2012-10-04T15:29:26.997 に答える
0

改ざんの問題は、使用しているアルゴリズムが改ざんに対して耐性がないことです。完全性保護は提供しません。

これに関する問題は、復号化が失敗する(例外をスローする)か、成功する可能性があることです。その場合、復号化の出力は、期待される形式と互換性がある場合と互換性がない場合があります。受け入れ可能な形式には、正しい値が含まれている場合と含まれていない場合があります。

最善の方法は、署名、HMAC、または認証された暗号化モードを使用することです。次に、暗号文に変更を加えると例外が発生し、暗号文の検証の背後にあるルーチンにゴミが入ることはありません。

于 2012-10-05T01:02:32.827 に答える