对称加密key是一个byte数组,如AES256算法的key是一个32字节的数组,普通的加密软件由用户输入加密口令。如果由用户输入口令,进行加密/解密,需要用到PBE算法。

1.PBE:Password Based Encryption

  • 由用户输入口令,采用随机数杂凑计算出密钥再进行加密
  • Password:用户口令,例如“hello123”
  • Salt:随机生成的byte[]
  • Key:由随机的salt和password计算而成:generate(byte[] salt,String password)

2.AES和PBE的对比:

AES

    byte[] message = ...;
byte[] key = generated16Bytes();//算法随机生成16字节的数组
byte[] encrypted = aes128_encrypt(key, message);

PBE

    byte[] message = ...;
String password = "hello123";
byte[] salt = random16Bytes();//随机产生一个16字节的salt
//为什么引入salt?因为用户输入的口令通常都很短,引入一个随机的salt,既可增加口令的长度,还可以让相同的口令生成不同的key,从而提高安全性。
byte[] key = generated16BytesFrom(password, salt);
byte[] encrypted = aes128_encrypt(key,message);

3.代码示例:salt不固定

package com.testList;

import org.bouncycastle.jce.provider.BouncyCastleProvider;
import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.PBEKeySpec;
import javax.crypto.spec.PBEParameterSpec;
import java.math.BigInteger;
import java.nio.charset.StandardCharsets;
import java.security.GeneralSecurityException;
import java.security.SecureRandom;
import java.security.Security;
import java.util.Base64; public class SplitString {
static final String CIPHER_NAME = "PBEwithSHA1and128bitAES-CBC-BC";
//加密
public static byte[] encrypt(String password, byte[] salt, byte[] input) throws GeneralSecurityException {
//传入char数组,获取一个PBEKeySpec的对象keySpec
PBEKeySpec keySpec = new PBEKeySpec(password.toCharArray());
//获取SecretKeyFactory对象skeyFactory
SecretKeyFactory skeyFactory = SecretKeyFactory.getInstance(CIPHER_NAME);
//传入keySpec,获取密钥:SecretKey类型的示例skey
SecretKey skey = skeyFactory.generateSecret(keySpec);
//将salt和用户输入的口令做1000次循环,获取PBEParameterSpec类型示例pbesp
PBEParameterSpec pbeps = new PBEParameterSpec(salt, 1000);
Cipher cipher = Cipher.getInstance(CIPHER_NAME);
//初始化:指定加密模式,传入skey,pbeps对象
cipher.init(Cipher.ENCRYPT_MODE, skey, pbeps);
return cipher.doFinal(input);
} public static byte[] decrypt(String password, byte[] salt, byte[] input) throws GeneralSecurityException {
PBEKeySpec keySpec = new PBEKeySpec(password.toCharArray());
SecretKeyFactory skeyFactory = SecretKeyFactory.getInstance(CIPHER_NAME);
SecretKey skey = skeyFactory.generateSecret(keySpec);
PBEParameterSpec pbeps = new PBEParameterSpec(salt, 1000);
Cipher cipher = Cipher.getInstance(CIPHER_NAME);
//初始化:指定解密模式,传入skey,pbeps对象
cipher.init(Cipher.DECRYPT_MODE, skey, pbeps);
return cipher.doFinal(input);
} public static void main(String[] args) throws Exception{
//把BouncyCastle作为provider添加到java.security
Security.addProvider(new BouncyCastleProvider());
String message = "Hello world!encrypted using PBE!";
String password = "hello12345";
//16字节的salt
byte[] salt = SecureRandom.getInstanceStrong().generateSeed(16);
System.out.printf("salt:%032x\n",new BigInteger(1,salt));
byte[] data = message.getBytes(StandardCharsets.UTF_8);
byte[] encryted = encrypt(password,salt,data);
//打印Base64加密后的密文
System.out.println("encrypted:"+Base64.getEncoder().encodeToString(encryted));
byte[] decrypted = decrypt(password,salt,encryted);
System.out.println("decrypted:"+new String(decrypted,"UTF-8"));
}
}


由于每次的salt不一样,每次的密文也不一样。

4.salt固定

如果把salt固定,就得到了一个通用的口令加密软件。

只有同事破解了salt+口令,才能解密。而salt为128为随机数,很难被破解

5.总结:

  • PBE算法通过用户口令和随机salt计算key然后再加密
  • key通过口令和随机salt计算出,提高了安全性
  • PBE算法内部使用的仍然是标准对称加密算法(例如AES)

廖雪峰Java10加密与安全-4加密算法-2口令加密算法的更多相关文章

  1. 廖雪峰Java10加密与安全-4加密算法-5非对称加密算法

    1.非对称加密 非对称加密就是加密和解密使用的不是相同的密钥 方法1: * 加密:用自己的私钥加密,然后发送给对方:encrypt(privateKeyA, message)->s * 解密:对 ...

  2. 廖雪峰Java10加密与安全-4加密算法-4密钥交换算法

    1DH算法 1.1.原根公式:g^i mod P 条件:1<g<P,0<i<P 原根:介于[1, p-1]之间的任意2个数i,j(p为素数,i≠j)的结果不相等,即 g^i m ...

  3. 廖雪峰Java10加密与安全-4加密算法-1对称加密算法

    1.对称加密算法 加密和解密使用同一个密钥,例如WinRAR. WinRAR在对文件进行打包的时候,可以设置一个密码,在解压的时候需要使用同样的密码才能正确的解压. 加密:encrypt(key,me ...

  4. 廖雪峰Java10加密与安全-2加密算法-2Base64编码

    1.Base64编码 Base64一种把二进制数据用文本表示的编码算法.例如 中有3个字节{\xe4, \xb8, \xad},一共是24位,每6位分组,变成4个字节{39, 0b, 22, 2d}, ...

  5. 廖雪峰Java10加密与安全-2加密算法-1URL编码

    1.URL编码 URL编码是浏览器发送数据给服务器时使用的编码. 如通过百度搜索美女: 编码前:https://www.baidu.com/s?wd=美女 编码后:https://www.baidu. ...

  6. 廖雪峰Java10加密与安全-6数字证书-1数字证书

    数字证书: 非对称加密算法:对数据进行加密/解密 签名算法:确保数据完整性和抗否认性 摘要算法:确保证书本身没有被篡改

  7. 廖雪峰Java10加密与安全-1数据安全-1加密与安全概念

    数据安全 防窃听 防篡改 防伪造 古代加密方式: 移位密码:HELLO =>IFMMP 替代密码:HELLO=>p12,5,3 现代加密方式: 建立在严格的数学理论基础上 密码学逐渐发展成 ...

  8. 廖雪峰Java10加密与安全-5签名算法-1RSA签名算法

    1.数字签名 甲在发送加密消息的时候,还要发送自己的签名,而这个签名是用甲的privateKey计算的:而乙要验证这个签名是否是合法的,会用甲的publicKey去验证,如果验证成功,这个消息确实是甲 ...

  9. 廖雪峰Java10加密与安全-3摘要算法-5Hmac

    1 比较MD5和HamcMD5 HmacMD5可以看作带安全salt的MD5 import javax.crypto.KeyGenerator; import javax.crypto.Mac; im ...

随机推荐

  1. oracle将查询结果横转纵

    SELECT '残疾人|民政|综合治理|计划生育|物业监管|安全生产|环境类|司法信访|党建|社会组织|文化体育|社保' D , '53|52|51|50|49|48|47|5|4|3|2|1' g ...

  2. eclipse查看源码的配置

    1.打开eclipse软件,点击window-preference 2.在弹出框中选择java-Installed JRES,选中的默认就行,然后点一下选中的,点击edit 3.弹出框中选择第二个,展 ...

  3. C++——友元函数和友元类

    友元函数:让函数可以访问类的私有属性 #include <iostream> using namespace std; class A { public: friend class B;/ ...

  4. LUOGU P3161 [CQOI2012]模拟工厂 (贪心)

    传送门 解题思路 贪心,首先因为\(n\)比较小,可以\(2^n\)枚举子集.然后判断的时候就每次看后面的如果用最大生产力生产能不能达成目标,解一个二次函数. 代码 #include<iostr ...

  5. Grunt入门

    Grunt 新手一日入门 2014.06.20 前端相关 TOC 1. 用途和使用场景 2. 开发一个任务自动处理器 3. 开始学习 Grunt 3.1. 安装 Grunt 3.2. 生成 packa ...

  6. 如何清除本机DNS缓存

    如何清除本机DNS缓存 在实际应用过程中可能会遇到DNS解析错误的问题,就是说当我们访问一个域名时无法完成将其 解析到IP地址的工作,而直接输入网站IP却可以正常访问,这就是因为DNS解析出现故障造成 ...

  7. Android Butterknife使用方法总结

    原文链接:http://blog.csdn.net/donkor_/article/details/77879630 前言: ButterKnife是一个专注于Android系统的View注入框架,以 ...

  8. day 68 Django基础四之模板系统

      Django基础四之模板系统   本节目录 一 语法 二 变量 三 过滤器 四 标签Tags 五 模板继承 六 组件 七 自定义标签和过滤器 八 静态文件相关 一 语法   模板渲染的官方文档 关 ...

  9. Object 和Throwable

    Object java.lang.Object 所有类的超类 Object里面有的方法所有的类都有 Object方法: String toString() 返回对象的字符串表现形式  类名 + @ + ...

  10. 16.ajax_case09

    import requests import json import re from selenium import webdriver from selenium.webdriver.common. ...