【Java编码准则】の #12不要使用不安全或者强度弱的加密算法

最新推荐文章于 2024-05-11 01:53:05 发布
最新推荐文章于 2024-05-11 01:53:05 发布
阅读量1.2w 收藏 2
点赞数
分类专栏: Java编码准则

     安全性要求高的应用程序必须避免使用不安全的或者强度弱的加密算法,现代计算机的计算能力使得攻击者通过暴力破解可以攻破强度弱的算法。例如,数据加密标准算法DES是极度不安全的,使用类似EFF(Electronic Frontier Foundaton) Deep Crack的计算机在一天内可以暴力破解由DES加密的消息。


[不符合安全要求的代码示例]

     下面的代码使用强度弱的DES算法对字符串进行加密:

	SecretKey key = KeyGenerator.getInstance("DES").generateKey(); 
	Cipher cipher = Cipher.getInstance("DES"); 
	cipher.init(Cipher.ENCRYPT_MODE, key);
	
	// encode bytes as UTF8; strToBeEncrypted contains
	// the input string that is to be encrypted
	byte[] encoded = strToBeEncrypted.getBytes("UTF-8");
	
	// perform encryption
	byte[] encrypted = cipher.doFinal(encoded);


[符合安全要求的解决方案]

     本方案使用更加安全的AES加密算法来对字符串进行加密

	Cipher cipher = Cipher.getInstance("AES");
	KeyGenerator kgen = KeyGenerator.getInstance("AES");
	kgen.init(128);	// 192 and 256 bits may be unavailable
	
	SecretKey skey = kgen.generateKey();
	byte[] raw = skey.getEncoded();
	
	SecretKeySpec skeySpec = new SecretKeySpec(raw, "AES");
	cipher.init(Cipher.ENCRYPT_MODE, skeySpec);
	
	// encode bytes as UTF8; strToBeEncrypted contains the
	// input string that is to be encrypted
	byte[] encoded = strToBeEncrpyted.getBytes("UTF-8");
	
	// perform encryption
	byte[] encrypted = cipher.doFinal(encoded);


[可用性]

     使用数学和计算上不安全的加密算法可能导致敏感信息的泄漏。强度弱的加密算法在Java SE 7中可以去使能,它们可以被用在加密允许被破解的场景。例如,ROT13加密算法被广泛用在电子公告牌和网页,这里加密的目的是保护人们免受信息的干扰,而不是保护信息不被人们知道。


——欢迎转载,请注明出处 http://blog.csdn.net/asce1885 ,未经本人同意请勿用于商业用途,谢谢——

ACE1985
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AES加密算法java)实现
01-15
AES高级加密标准,在密码学中又称Rijndael加密法,是美国联邦政府采用的一种...本软件是用java语言开发,实现了AES算法对文件的加密和解密,并在界面上加了进度条,来提示用户加密解密的进度。如果不足之处,欢迎留言。
JAVA近百种算法大全
05-29
Java算法大全是一个包含约100种常见算法的资源库,专为Java程序员设计,用于深入理解和实践编程中的各种算法。这些算法涵盖了数据结构、排序、搜索、图论等多个领域,是提升编程技能和解决问题能力的重要工具。下面...
静态扫描规则:不安全加密算法
jimmyleeee的专栏
03-07 4798
今天使用一款SAST扫描不安全加密算法时,发现一个很明显的代码段,居然没有扫描到,代码段如下: private static void testdes() { try { //Creating a KeyGenerator object KeyGenerator keyGen = KeyGenerator.getInstance("des"); //Creating a SecureRandom object SecureRandom secRandom = new S
彻底告别加解密模块代码拷贝-JCE核心Cpiher详解
weixin_30257433的博客
08-15 548
前提 javax.crypto.Cipher,翻译为密码,其实叫做密码器更加合适。Cipher是JCA(Java Cryptographic Extension,Java加密扩展)的核心,提供基于多种加解密算法的加解密功能。在不了解Cipher之前,我们在完成一些需要加解密的模块的时候总是需要到处拷贝代码,甚至有些错误的用法也被无数次拷贝,踩坑之后又要拷贝补坑的代码。为什么不尝试理解Ci...
2024年最全AES(高级加密标准)_aes加密(1),2024年华为网络安全面试真题解析
最新发布
05-11 449
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
Java使用Cipher类实现加密,包括DES,DES3,AES和RSA加密
NiudiezzZ的博客
12-14 1677
Java使用Cipher类实现加密,包括DES,DES3,AES和RSA加密
Java 加密扩展(JCE)框架 之 Cipher 加密与解密
热门推荐
蚩尤后裔-汪茂雄
05-18 2万+
Cipher 密码概述 1、javax.crypto.Cipher 类提供加密和解密的功能,它构成了Java加密扩展(JCE)框架的核心。 2、Cipher 的 getInstance(String transformation) 方法可以获取实例,参数 transformation 表示转换名称,包括:加密算法/反馈模式/填充方案。加密算法是必选项,反馈模式与填充方案可以不写使用默认值。如: Cipher cipher = Cipher.getInstance("AES"); Cipher c =
Cipher加密
听海的博客
06-19 1191
Cipher加密。
java RSA公钥加密算法完整源代码
09-02
RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,它是现代密码学的基石之一,广泛应用于网络安全、数据加密、数字签名等领域。在Java中实现RSA公钥加密,涉及到的关键概念和步骤如下: 1. **密钥生成**:RSA的...
Java 面经手册·小傅哥.pdf
01-26
当你仔细阅读书籍时,会发现Java中有大量的数学知识,包括:扰动函数、负载因子、拉链寻址、开放寻址、斐波那契(Fibonacci)散列法还有黄金分割点的使用等等。 适合人群 1. 具备一定编程基础,工作1-3年的研发...
JAVA经典算法90题【含源码】
10-10
这些题目可能涉及如何使用Java标准库解决实际问题,或者如何设计和实现复杂的数据结构。通过解决这些问题,开发者可以提高解决问题的能力,同时加深对Java语法和特性理解。 最后,"50道JAVA基础编程练习题.doc"可能...
AES工具类及漏铜修复
weixin_42324471的博客
09-27 3579
使用Sonar扫描代码是发现AES工具类提示如下漏洞 很明显。漏洞存在于红色方框 Cipher cipher = Cipher.getInstance(“Blowfish/ECB/PKCS5Padding”); 查看漏洞详细信息,可以看到漏洞的现象情况,及正确示例 存在漏洞的使用方式 Cipher c0 = Cipher.getInstance("AES"); // Noncompliant: by default ECB mode is chosen Cipher c1 = Cipher.getIn
应用软件安全编程--23避免使用安全操作模式
奔跑的老吴
11-21 222
密码又称为分组加密, 一次加密明文中的一个块。将明文按一定的位长分组,明文组经过加密运 算得到密文组,密文组经过解密运算(加密运算的逆运算),还原成明文组。这种加密算法共有四种操作 模式用于描述如何重复地应用密码的单块操作安全的转换大于块的数据量,分别是电子代码(ECB)、密码块链(CBC)、 密码反馈(CFB) 以及输出反馈(OFB)。可以改用CCM(Counter with CBC-MAC)模式,如果更注重性能,在可用的情况下则使用GCM(Galois/Counter)模式
Cipher的初应用
hardlydream的博客
03-13 1253
javax.crypto.Cipher是JCA(Java Cryptographic Extension,java加密扩展)提供的密码框架。 //java加密扩展(JCE)框架的核心。提供了加密和解密的功能。 Cipher cipher = Cipher.getInstance("DES"); //用秘钥与随机源初始化此密码 cipher.init(2,secretKey,sr); //在单一部分操作中加密或解密数据。或完成多部分操作。 byte[] bytes = cipher.doFin
RSA加密的坑
莫颜轩的博客
12-10 1140
1,解密乱码问题 如果代码是这样的,如下: Cipher cipher = Cipher.getInstance("RSA"); 应该改成 Cipher cipher = Cipher.getInstance("RSA/ECB/PKCS1Padding"); 2,同样的如果安卓和java,同样的加密工具类,但是加密结果不一样,也是用1方法解决 3,加载的字符串大于117时会报错 ...
Java DES对称加密工具类
默默不代表沉默
11-17 1783
DESUtil.java import org.apache.tomcat.util.codec.binary.Base64; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.FileOutputStream; import java.io.InputStream; import java.io.OutputStream; import java.security.Key; imp.
RSA解密时出现的坑-解密后(乱码+明文)
635063650
06-28 1万+
今天部署项目是,本地正常,但部署到weblogic上后,发生RSA解密出现如下情况(正确的应该是00031800)解出来的密文是 o�eמ����DK��ʢ���{IFsP���Ą��^l%�FK"aj�'e�1�Sv�6�� ��Lt�&�����ٸ�p��W��LK�-�2��vVB�i�v�� 00031800 前面莫名其妙的多出来一堆...
RSA非对称加密的坑
brycegao321的博客
09-20 2617
RSA加解密的Java实现
java如何检测加密算法为不安全
07-27
Java中,可以通过以下步骤来检测加密算法是否安全: 1. 了解加密算法安全性:首先,需要了解不同的加密算法及其安全性评级。一些已经被认为是不安全加密算法包括DES、RC4和MD5。而一些较为安全的算法包括AES、RSA和SHA。 2. 查看Java加密库:Java提供了许多内置的加密算法库,例如javax.crypto包。可以查看相关文档以了解每个算法的安全性。通常,Java库中包含的算法都是经过严格测试和验证的。 3. 检查算法使用的密钥长度:某些加密算法可能具有安全性问题,但通过增加密钥长度可以提高安全性。例如,AES算法在使用128位或256位密钥时被认为是安全的,而使用56位密钥时则不安全。 4. 参考加密算法的最新推荐标准:加密算法安全性标准会随着时间的推移而变化。可以参考国际标准组织(例如NIST)或其他权威机构发布的最新推荐标准,了解哪些算法是目前被认为是安全的。 5. 使用专业的安全工具:可以使用一些专业的加密和安全性工具来评估加密算法安全性。例如,可以使用OWASP ZAP或Burp Suite等工具来测试应用程序中使用加密算法是否容易受到攻击。 需要注意的是,加密算法安全性不仅仅取决于算法本身,还取决于其使用的方式和实现细节。因此,在实际应用中,还需要注意密钥管理、随机数生成、数据传输等方面的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值