brechen von RSA/ECB/OAEPWITHSHA-256ANDMGF1PADDING

Also Java hat einen Modus namens RSA/ECB/OAEPWITHSHA-256ANDMGF1PADDING. Was bedeutet das überhaupt?

RFC3447, Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1, Abschnitt 7.1.2 Entschlüsselung, sagt Hasch und MGF sind beide Optionen für RSAES-OAEP-ENTSCHLÜSSELN. MGF ist eine eigene Funktion, definiert in Abschnitt B. 2.1 MGF1 und hat eine eigene Hash "- option" als gut.

Vielleicht ist der Hash "- option" in RSAES-OAEP-ENTSCHLÜSSELN und MGF1 sind, soll die gleiche sein oder vielleicht sind Sie es nicht, ist es mir unklar. Wenn Sie sind, dann denke ich, dass, wenn Sie haben RSA/ECB/OAEPWITHSHA-256ANDMGF1PADDING das bedeutet, dass sha256 sollte für beide verwendet werden. Aber wenn Sie nicht sind, soll die gleiche sein, dann hätte man sha256 verwendet für RSAES-OAEP-ENTSCHLÜSSELN und beispielsweise sha1-MGF1 verwendet. Und wenn das der Fall ist, dann was ist die Funktion sha256 soll verwendet werden? Und welche hash-Algorithmus verwendet werden soll, für die andere Funktion?

Und was tut die EZB in diesem Kontext bedeuten? EZB ist ein symmetrischer block-cipher-Modus. Electronic Code Book. Vielleicht soll es bedeuten, wie Java beschäftigt sich mit der Klartext ist, die größer als die modulo? Wie vielleicht teilt den Klartext in Blöcken, die sind so groß wie die modulo und verschlüsselt dann alle mit RSA und verkettet Sie miteinander? Ich kann nur raten..

InformationsquelleAutor neubert | 2015-08-22

32

Standard für OAEP ist die Verwendung von SHA-1 für MGF1. Beachten Sie, dass der hash gewählt nicht haben, dass viel Einfluss auf die Sicherheit des OAEP, also meistens ist es Links zu diesem Standard.

Wir können dies leicht testen, indem Sie probeweise gegen "OAEPPadding" und OAEPParameterSpec:
```
//--- we need a key pair to test encryption/decryption
KeyPairGenerator kpg = KeyPairGenerator.getInstance("RSA");
kpg.initialize(1024); //speedy generation, but not secure anymore
KeyPair kp = kpg.generateKeyPair();
RSAPublicKey pubkey = (RSAPublicKey) kp.getPublic();
RSAPrivateKey privkey = (RSAPrivateKey) kp.getPrivate();

//--- encrypt given algorithm string
Cipher oaepFromAlgo = Cipher.getInstance("RSA/ECB/OAEPWITHSHA-256ANDMGF1PADDING");
oaepFromAlgo.init(Cipher.ENCRYPT_MODE, pubkey);
byte[] ct = oaepFromAlgo.doFinal("owlstead".getBytes(StandardCharsets.UTF_8));

//--- decrypt given OAEPParameterSpec
Cipher oaepFromInit = Cipher.getInstance("RSA/ECB/OAEPPadding");
OAEPParameterSpec oaepParams = new OAEPParameterSpec("SHA-256", "MGF1", new MGF1ParameterSpec("SHA-1"), PSpecified.DEFAULT);
oaepFromInit.init(Cipher.DECRYPT_MODE, privkey, oaepParams);
byte[] pt = oaepFromInit.doFinal(ct);
System.out.println(new String(pt, StandardCharsets.UTF_8));
```
Der code wird nicht mit einer Polsterung bezogen Ausnahme, wenn Sie Ersatz "SHA-256" für die MGF1 als parameter.

Der Grund, warum der erweiterte Algorithmus benötigt wird, ist Kompatibilität mit anderen Cipher algorithmen. Code für z.B. "RSA/ECB/PKCS1Padding" keine Parameter, geschweige denn OAEP-Parameter. Also ohne die längere Zeichenfolge OAEP nicht funktionieren kann als drop-in-Ersatz.

Betriebsart "ECB" nichts zu bedeuten in diesem Zusammenhang, sollte es gewesen sein "None" oder es hätte sein sollen völlig aus. Sie können nur die Verschlüsselung eines einzigen Blocks mit Hilfe der RSA-Implementierung der SunRSA Anbieter.

Wenn Sie wollen mehr verschlüsseln Sie Daten, erstellen Sie eine zufällige (AES) symmetrische Schlüssel aus und verschlüsseln Sie, dass die Verwendung von OAEP. Dann verwenden Sie die AES-Schlüssel verschlüsseln Sie Ihre spezifischen Daten. Dies wird als hybrid-Kryptosystem als es nutzt sowohl asymmetrische als auch symmetrische primitive zum verschlüsseln von Daten.

Beachten Sie, dass OAEP wird nicht unterstützt im JDK 7 (1.7) oder früher. OAEP ist Teil der Umsetzung der Anforderungen für die Java runtimes, die seit Java 8:
- RSA/ECB/OAEPWithSHA-1AndMGF1Padding (1024, 2048)
- RSA/ECB/OAEPWithSHA-256AndMGF1Padding (1024, 2048)
- Ich war Herumspielen mit der BouncyCastle crypto provider und BouncyCastle scheint anders zu bedienen mit Bezug auf RSA/ECB/OAEPWITHSHA-256ANDMGF1PADDING. dh. während der Java-Standard-crypto-provider verwendet die sha1-wie die MGF-hash bouncycastle zu verwenden scheint sha256. Dies dürfte wohl unabhängig verifiziert werden, aber so erscheint es mir..
- Ich habe gerade überprüft, Sonne.Sicherheit.rsa.RSAPadding, wenn verwendet mit OAEP-SHA256, SHA1 verwendet für die MGF1 Funktion, bouncy castle verwendet SHA256 für beide, dass ist der Grund, warum Sie nicht kompatibel sind.
- Vielen Dank für die adfitional info. Es gibt ein paar Ausnahmefälle wo BC ist nicht kompatibel mit der Standard-Sun-Implementierung. Ich frag das BC-team, wenn es das ist beabsichtigt.
- Ich hatte auch einen Blick auf die OpenSSL-Implementierung, da SHA256 wird derzeit nicht unterstützt, aber es kann mit einer einfachen Modifikation. Dort auch die gleiche hash-Funktion verwendet wird, für beide, also, wenn Sie die änderung vorgenommen haben, ist es kompatibel mit Hüpfburg.
- WebCrypto verwendet es für beide zu. Danke - das hatte mich etwas verblüfft.
- Das code-Beispiel oben funktioniert nur mit Hüpfburg-Anbieter. SunJCE nicht unterstützt Polsterung "OAEPPadding" (zumindest nicht JDK7). Vielleicht fügen Sie diese als side-note.
- Würde so etwas wie "don ' T use Laufzeitumgebungen, die Unterstützung für fast 4 Jahre und mehr, vor allem nicht für sicherheitsrelevante Anwendungen" suite du? Aber im ernst, ich mache eine Art Hinweis über das OAEP-Unterstützung. Übrigens: sind Sie sicher? Dieses Dokument hat die Liste den Algorithmus.
- Natürlich hast du Recht. Aber Sie sollten nicht unterschätzen, die Faulheit der Industrie ("never change a running system"). Ich habe keinen Einfluss darauf haben, was java-version unsere Kunden anwenden. Und: ja, ich bin sicher: ein Cipher cipher = Cipher.getInstance("RSA/ECB/OAEPPadding") ergibt sich eine NoSuchAlgorithmException sowohl in Oracle 1.7.0_75 als in OpenJDK 1.7.0-u80. Nur nach Zugabe von BC-Provider die Chiffre wird initialisiert.
- BTW: Der Abschnitt "Anforderungen an die Umsetzung" Ihres verlinkten offiziellen Dokument (link siehe oben) nicht verzeichnet diese transformation string, obwohl die "Cipher-Algorithmus Polsterung" nicht.
- Die Anforderungen an die Umsetzung. Abschnitt ist also eher minimal, die Sun / Oracle-Provider bieten so mehr algorithmen als die. Manchmal jedoch ist die spec. vor der Umsetzung (wie es sollte). Auch danach werden die algorithmen oft zurück-portiert. Aber, wie es scheint, nicht in diesem Fall. Wie auch immer, ich denke, mit den Kommentaren ist es klar, dass JDK 1.7 nicht unterstützt wird. Gotta run, noch passen Sie sich der Antwort-text, danke für die info.
- Ich verbrachte den ganzen Tag versucht zu verstehen, warum ich nicht bekommen konnte mein payload entschlüsseln in WebCrypto. Mit BouncyCastle funktioniert! So eine obskure und schwer zu fangen Fehler.
InformationsquelleAutor Maarten Bodewes

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.