PBE：復号化を試みる前にパスワードを確認する

Question

私はJavaでアプリケーションを作成しています。ユーザーが選択したパスワードを使用してファイル（またはフォルダ - 私はディレクトリを圧縮します）を暗号化できるようにします。私は、ファイルが生成される前に、ユーザーが正しいパスワードを入力したことを確認できるようにしたいプログラムよりユーザーフレンドリーを作るために、しかし

static Cipher createCipher(int mode, String password) throws Exception { 
      PBEKeySpec keySpec = new PBEKeySpec(password.toCharArray()); 
      SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("PBEWithMD5AndDES"); 
      SecretKey key = keyFactory.generateSecret(keySpec); 
      MessageDigest md = MessageDigest.getInstance("MD5"); 
      md.update("input".getBytes()); 
      byte[] digest = md.digest(); 
      byte[] salt = new byte[8]; 
      for (int i = 0; i < 8; ++i) 
       salt[i] = digest[i]; 
      PBEParameterSpec paramSpec = new PBEParameterSpec(salt, 20); 
      Cipher cipher = Cipher.getInstance("PBEWithMD5AndDES"); 
      cipher.init(mode, key, paramSpec); 
      return cipher; 
    } 

    static void applyCipher(String inFile, String outFile, Cipher cipher) throws Exception { 
      String decryption = ""; 
      CipherInputStream in = new CipherInputStream(new FileInputStream(inFile), cipher); 
      BufferedOutputStream out = new BufferedOutputStream(new FileOutputStream(outFile)); 
      int BUFFER_SIZE = 8; 
      byte[] buffer = new byte[BUFFER_SIZE]; 
      int numRead = 0; 
      do { 
       numRead = in.read(buffer); 
       System.out.println(buffer + ", 0, " + numRead); 
       if (numRead > 0){ 
       out.write(buffer, 0, numRead); 
       System.out.println(toHexString(buffer, 0, numRead)); 
       } 
      } while (numRead == 8); 
      in.close(); 
      out.flush(); 
      out.close(); 
      } 
    private static char[] hex_table = { 
      '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 
      'a', 'b', 'c', 'd', 'e', 'f'}; 

    public static String toHexString(byte[] data, int offset, int length) 
    { 
     StringBuffer s = new StringBuffer(length*2); 
     int end = offset+length; 

     for (int i = offset; i < end; i++) 
     { 
     int high_nibble = (data[i] & 0xf0) >>> 4; 
     int low_nibble = (data[i] & 0x0f); 
     s.append(hex_table[high_nibble]); 
     s.append(hex_table[low_nibble]); 
     } 

     return s.toString(); 
    } 

：私は現在、以下の方法（複数可）を持っています。私は「ドアのマットの下に鍵を置いておく」、あるいは完全にセキュリティを元に戻すことはしません - ユーザーが間違ったパスワードを入力すると間違ったファイルが生成されないようにしたい...

アイデア大変感謝します。それ以上の詳細が必要な場合は、お気軽にお問い合わせください。

ありがとうございます。

Answer 1

PBEWithMD5AndDESではなくPBKDF2WithHmacSHA1を使用してください。後で2つの異なる古いプリミティブ。前者は現在の標準です。

は、次の2つのオプション

を持って

1. 高速だが安全性の低い： あなたの暗号化されたファイルの先頭に短い既知の値を入れたり、同じパスワードの下で完全に異なる短いファイルを暗号化します。このファイルを復号化するときは、既知の値を確認してください。

   明らかに、これは迅速に機能します。それは、攻撃者が無意識に試みることを意味するので、パスワードが推測されるパスワードを速く破棄することを意味するため、わずかに安全です。ファイル全体を見る必要はなく、その値をチェックするだけです。これは本当に大きな問題ではありません。鍵の導出関数は十分に難しく、それらを実行する必要があるからです。

2. 暗号化されたファイルのハッシュも保存し、解読時にハッシュを検証します。 攻撃者がファイル全体を復号化して読み取る必要があるという点で、より安全ですが、同じトークンでは速度が遅くなります。

Answer 2

暗号化されたパスワードをファイルに保存できます。ユーザーがパスワードを入力すると、そのパスワードが暗号化され、同じ暗号化されたパスワードがファイル内にあるかどうかがチェックされます。そうでない場合は、ファイルを読み込まないでください。

Answer 3

私はAEADモード（CCMまたはEAXなど）を使用します。これにより、ファイルが復号化されるときにファイルの各ブロックの整合性がチェックされ、キーが正しくないか、ファイルが改ざんされた場合には失敗します。これらのモードのBouncy Castleプロバイダsupports both。