セキュリティで保護されていないチャネルを介してメッセージを送信するには、RSA 経由でメッセージを復号化する必要がありますが、パディング オラクル攻撃が怖いです。したがって、私はすでに次の質問をしています。
最初の質問で提案したように、
ただし、高レベルの暗号化ライブラリを使用しているため、これは心配する必要はありません。そのライブラリの作成者がそれを処理する必要がありました。
などと考えてはいけません。私の知る限り、 の RSA 実装は、 OAEPPKCS#1 v1.5がそうでない場合に脆弱です(正しく実装されていると仮定します) Padding Oracale Attack。
javax.crypt.Cipherしたがって、Java 7でどのパディング実装が使用されているかを知りたい
次のように完全に修飾せずに Cipher をインスタンス化するときに、どのパディングが実際に使用されるかは、選択したプロバイダーまたはデフォルトのプロバイダーによって異なります。
Cipher.getInstance("RSA")
Java 実装を切り替えると、デフォルトが異なる可能性があり、突然、古い暗号文との互換性がなくなるため、これは悪い習慣です。暗号は常に完全修飾してください。
前に言ったように、デフォルトはおそらく (多くのプロバイダーがあり、確かではありません) PKCS#1 v1.5 パディングになります。別のものが必要な場合は、それを指定する必要があります。OAEP を使用する場合は、ここからの完全修飾暗号文字列を次に示します。
Cipher.getInstance("RSA/ECB/OAEPWithSHA-256AndMGF1Padding");
これは、暗号化サイトへの最初のリンクで与えられた適切なアドバイスではありません。暗号化ライブラリの暗号化アルゴリズムのデフォルトに決して依存しないでください。これにはいくつかの理由があります。
オラクルが提供するは、歴史的な理由SunJCEProviderから PKCS#1 パディング ( "PKCS1Padding") にデフォルト設定されています (上記の理由 #2 を参照)。これは十分に文書化されていません。
そのデフォルトが設定された時点では、基本的に安全でないテキスト RSA ( "NoPadding") と PKCS#1 v1.5 バージョン ("PKCS1Padding"または RSAES-PKCS1-v1_5PKCS#1 v2.1 標準) しかありませんでした。当時RSAES-PKCS1-v1_5は間違いなくより安全な選択でした。デフォルトを OAEP に変更すると、デフォルトを使用するすべての RSA 実装が機能しなくなります。
otus のアドバイス (この回答の最初のリンクにあります) は、暗号化アルゴリズムよりもライブラリのプロトコル実装に適しています。最終的には、どのような選択をしても、その選択のセキュリティを守ることができるはずです。
指定したときの bouncy-castle のデフォルトRSAはRSA/NONE/NOPADDING
これも同じ結果RSA/ECB/NOPADDINGです。