復号化の前にパスワードを確認する

Question

正しいパスワードで動作している文字列を復号化したい。私はif(decrypt(Password, encryptedKey).contains(Key)){とパスワードを確認しようとしましたが、PWが間違っている場合、私は次の例外を取得：

javax.crypto.BadPaddingException: pad block corrupted 

ので、パスワードを確認する方法はありますか？

public static String decrypt(String seed, String encrypted) throws Exception { 
    byte[] rawKey = getRawKey(seed.getBytes()); 
    byte[] enc = toByte(encrypted); 

    SecretKeySpec Spec = new SecretKeySpec(rawKey, "AES"); 
    Cipher cipher = Cipher.getInstance("AES"); 
    cipher.init(Cipher.DECRYPT_MODE, Spec); 


    byte[] result = cipher.doFinal(enc); 

    return new String(result); 
} 

Answer 1

誤ったパスワードを使用して解読（および例外をスロー）しないが、正しいパスワードを使用して解読すると、何が問題？実際に解読するより簡単な方法として、パスワードを確認する簡単な方法はありません（はであってはいけません）：ショートカットの存在は攻撃者がターゲットにできる弱点を提供します（「なぜドアマンの下にパスワードヒントがありますか？ "）。

例外なく復号化する場合、パスワードは正しいです。例外が発生した場合、パスワードは間違っています。

これは書式的には（例外的に例外を使用する例外を使用する場合と同様に）最適ではないかもしれませんが、データの横にパスワードを保存するなど、システムのセキュリティを低下させません（保存の前にパスワードをハッシュするとですが、間違ってしまうのは簡単ですし、セキュリティを低下させながらシステムの複雑さを増やします（複雑さの味についてはthisなどを参照してください）。

Answer 2

これは、プログラムが入力パスワードと比較するために、パスワードをどこかに保存する必要があることを意味します。ハッカーのためにバックドアを作成したくない場合は、保存したパスワードをハッシュする必要があります。