RSA加解密的OAEP MGF1 填充解析

最新推荐文章于 2024-02-06 12:30:00 发布
最新推荐文章于 2024-02-06 12:30:00 发布
阅读量4.8k 收藏 10
点赞数 2
分类专栏: Android自学 自我记录有意思的事情 文章标签: java 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qunimaode/article/details/109327983
版权

RSA加解密的OAEP MGF1 填充解析

加密时的填充

PKCS#1 v2.1: RSA密码学规范中关于 OAEP的模式的讲解如下:

RSAES-OAEP-ENCRYPT  (( n,  e),  M, L )
可选:  Hash  哈希函数(hLen代表哈希函数的输出字节数)
MGF  掩码生成函数
输入:
(n,e)  输入的RSA公钥(k代表RSA模数n的字节长度)
M  待加密的数据, 一个长度为mLen的字节串,并且mLen<=k-2hLen-2
L  可选的和消息关联的标签;如果L没有提供,默认的值是空串
输出:
C  加密输出,长度为k的字节串
错误:  “消息太长”;“标签太长”
假设:  RSA公钥(n,e)是有效的。
操作:
1.长度检查
a.如果L的长度超过了哈希函数的输入限制(SHA-1是2^61-1字节),输出"标签太长“并中止。
b.如果mLen>k-2hLen-2,输出“消息太长”并中止。
2.EME-OAEP编码
a.如果标签L没有提供,使得L为空串。使得lHash=Hash(L),一个长度为hLen的字节串。
b.生成一个字节串PS,由k-mLen-2hLen-2个字节零组成,PS的长度有可能是0。
c.连接lHash,PS,一个单字节值为0x01和消息M,形成一个长度为k-hLen-1的字节串: DB = lHash || PS || 0x01 || M
d.生成一个长度为hLen的随机字节串种子seed。
e.使得 dbMask = MGF(seed, k-hLen-1)
f.使得 maskedDB = DB ⊕ dbMask.
g.使得 seedMask = MGF(maskedDB, hLen)
h.使得 maskedSeed = seed ⊕ seedMask
i.级联值为0x00的单字节,maskedSeed,和maskedDB形成长度为k的消息EM: EM = 0x00 || maskedSeed || maskedDB

代码如下:

byte[] lHash = SHAUtils.encrypt("", "SHA-256");//hash 根据选择 。前面的消息就睡上文的L,这里采用空串。
byte[] ps = new byte[publicKey.getModulus().bitLength() / 8
                - data.length - 2 * lHash.length - 2];  //需要填充的部分
for (int i = 0; i < ps.length; i++) {//全部填充为0
  ps[i] = 0;
 }
byte[] DB = new byte[publicKey.getModulus().bitLength() / 8
                - lHash.length - 1];//生成DB长度
 System.arraycopy(lHash, 0, DB, 0, lHash.length);//开始是hash
System.arraycopy(ps, 0, DB, lHash.length, ps.length);//填充字符
 DB[lHash.length + ps.length] = 1;//0x1作为间隔符
System.arraycopy(data, 0, DB, lHash.length + ps.length + 1, data.length); //真实的加密数据
 byte[] seed = SecureRandom.getSeed(lHash.length);//生成seed
 MGF1 mgf1 = new MGF1(MessageDigest.getInstance("SHA-1"));
 byte[] dbMask = mgf1.generateMask(seed, publicKey.getModulus()
                .bitLength() / 8 - lHash.length - 1);
// DB和dbMask做异或运算生成maskedDB
 byte[] maskedDB = new BigInteger(DB).xor(new BigInteger(dbMask))
                .toByteArray();
 byte[] seedMask = mgf1.generateMask(maskedDB, lHash.length);
 // seed和seedMask做异或运算生成maskedSeed
 byte[] maskedSeed = new BigInteger(seed).xor(new BigInteger(seedMask))
                .toByteArray();
byte[] EM = new byte[publicKey.getModulus().bitLength() / 8];
EM[0] = 0;//开始位置0
System.arraycopy(maskedSeed, 0, EM, 1, maskedSeed.length); System.arraycopy(maskedDB, 0, EM, maskedSeed.length + 1,  maskedDB.length);

所以为什么OAEP的长度限制是mLen<=k-2hLen-2
EM = 0x00 || maskedSeed || maskedDB

解密时的填充

规则如下:

a.如果标签L没有提供,使得L作为空串。使得 lHash = Hash(L), 一个长度为hLen的字节串。
b.将编码消息EM切分为一个字节Y,一个长度为hLen的字节串maskedSeed,和一个长度为k-hLen-1的字节串maskedDB
 EM = Y || maskedSeed || maskedDB
c.使得 seedMask = MGF(maskedDB, hLen)
 d.使得 seed = maskedSeed ⊕  seedMask
 e.使得 dbMask = MGF(seed, k-h-1)
 f.使得 DB = maskedDB  ⊕  dbMask
 g.将DB分成长度为lHash的字节串,一个由0组成的填充串,和消息M
DB = lHash' || PS || 0x01 || M
如果没有值为0x01的数据将PS和M分隔开,如果lHash不等于lHash',或者如果Y非零,输出“解密错误“并停止。

代码如下:

//cache是解密出来的数据
 byte Y = cache[0];
 if (Y != 0) {//首位不是0,解密失败
   throw new Exception("error");
 }
   byte[] maskSeed = Arrays.copyOfRange(cache, 1, hashLength+1);
 byte[] maskDB = Arrays.copyOfRange(cache, hashLength + 1, cache.length);
 MGF1 mgf1 = new MGF1(MessageDigest.getInstance("SHA-1"));//与加密时候的MGF1相同
byte[] seedMask = mgf1.generateMask(maskDB, hashLength);
 byte[] seed = new BigInteger(maskSeed).xor(new BigInteger(seedMask)).toByteArray();
 byte[] dbMask = mgf1.generateMask(seed, 256 - hashLength - 1);//这里的256是因为我的密钥是2048
 byte[] DB = new BigInteger(maskDB).xor(new BigInteger(dbMask)).toByteArray();
 byte[] lHash = SHAUtils.encrypt("", "SHA-256");//与加密的时候相同,L值
 int index = -1;
 for (int k = 0; k < hashLength; k++) {
	 if (lHash[k] != DB[k]){//比较hash,hash不对的话,解密失败
		 throw  new Exception("hash error");
	   }
 }
for (int j = hashLength; j < DB.length; j++) {//从hash后面开始找1
 if (DB[j] == 1) {
   	index = j + 1;
	 break;
 }
 }
 byte[] data = Arrays.copyOfRange(DB, index, DB.length);//1后面就是明文数据

最后

以上,我们完成了OAEP的填充和反解。使用的时候采用RSA/ECB/NOPADDING,就可以正常进行。

1。Android的KeyStore系统不支持传入:L 可选的和消息关联的标签
如果需要这部分,就需要自己完成填充和反解。
2.RSA/ECB/PKCS1Padding 这个模式:应小心在长数据加密过程中基于 Coppersmith, Franklin, Patarin, 和 Reiter的小指数RSA攻击。作为一般规则,此方案用于加密普通的消息,而不建议用于加密随机生成的密钥。它有一定概率成功的在不知道对应的明文的前提下产生有效的RSAES-PKCS-v1_5的密文。这个能力可能被密文选择性攻击利用。因此如果采用RSAES-PKCS1_v1_5,应采取一些容易实施的对策阻扰攻击。
典型的例子是在数据中加入附加结构,在解密的消息中严格检查PKCS#1 v1.5的一致性(和其它冗余)

a.生成长度为k-mLen-3的字节串PS包含随机生成的非零的伪随机数。PS的长度最小为8个字节。
b.级联PS,消息M和其它的填充组成长度为k的消息EM
EM = 0x00 || 0x02 || PS || 0x00 || M

数据比较固定。

附录 MGF1代码

import java.security.MessageDigest;

/**
 * 掩模生成函数
 * mask generator function, as described in PKCS1v2.
 */
public class MGF1
{
    private MessageDigest digest;

    /**
     * Create a version of MGF1 for the given digest.
     *
     * @param digest
     *            digest to use as the basis of the function.
     */
    public MGF1(MessageDigest digest)
    {
        this.digest = digest;
    }

    /**
     * int to octet string.
     */
    private void I2OSP(int i, byte[] sp)
    {
        sp[0] = (byte) (i >>> 24);
        sp[1] = (byte) (i >>> 16);
        sp[2] = (byte) (i >>> 8);
        sp[3] = (byte) (i >>> 0);
    }

    /**
     * Generate the mask.
     *
     * @param seed
     *            source of input bytes for initial digest state
     * @param length
     *            length of mask to generate
     *
     * @return a byte array containing a MGF1 generated mask
     */
    public byte[]
    generateMask(byte[] seed, int length)
    {
        byte[] mask = new byte[length];
        byte[] C = new byte[4];
        int counter = 0;
        int hLen = digest.getDigestLength();
        digest.reset();
        while (counter < (length / hLen))
        {
            I2OSP(counter, C);
            digest.update(seed);
            digest.update(C);
            System.arraycopy(digest.digest(), 0, mask, counter * hLen, hLen);

            counter++;
        }
        if ((counter * hLen) < length)
        {
            I2OSP(counter, C);
            digest.update(seed);
            digest.update(C);
            System.arraycopy(digest.digest(), 0, mask, counter * hLen,
                    mask.length - (counter * hLen));
        }
        return mask;
    }
}
小小bug creator
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
关于RSA加密/解密中OAEP填充模式和PKCS1-v1_5填充模式时对于原文数据的要求
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
09-27 7198
在​《RFC-8017 PKCS #1 RSA Cryptorgraphy Specification Version 2.2》规范的第7章节中规定了RSA算法在PKCS1填充OAEP填充模式下,对于原文数据的约束。本节内容主要起因于工作中遇到的一个问题,对于应用开发者来说,实际上并不需要我们去深度学习RSA算法实现,我们只要知道RSA算法加解密应用场景,不同场景下规范定义的数据封装格式,及签名/验签/加密/解密方案约束即可。这里概括下本节主要内容,用于学习总结,手动翻译,个中存在错误纰漏欢迎批评指正。
RSAES-OAEPRSAES-PKCS1-v1_5 和 RSASSA-PSS 和 RSASSA-PKCS1-v1_5
阿群的笔记(同步备份自简书)
06-05 8402
OAEP= Optimal Asymmetric Encryption Padding PSS = Probabilistic Signature Scheme RSA的加密机制有两种方案一个是RSAES-OAEP,另一个RSAES-PKCS1-v1_5。PKCS#1推荐在新的应用中使用RSAES- OAEP,保留RSAES-PKCS#1-v1_5跟老...
关于RSAES-OAEPRSASSA-PSS编码的介绍及C语言实现
l_z_h的博客
04-08 4058
RSAES-OAEPRSASSA-PSS编码的介绍及C语言实现
PKCS__1_v2.1_RSA_算法标准+RSA-oaep_spec
04-05
两份内容打包 1. PKCS__1_v2.1_RSA_算法标准.pdf 【中文版】 2.RSA-oaep_spec.pdf【英文版】
图解PKCS#1——第三部分 加解密方案
热门推荐
云与山的彼端
11-19 2万+
7.1 RSAES-OAEP加解密方案 采用EME-OAEP编码方案 + RSAEP/RSADP加解密 此方案中存在可选的标签L RSAES-OAEP-ENCRYPT ((n, e), M, L)(§7.1.1,见图5) 输入 (n, e) RSA公钥 (记k为模数n的字节长) M 消息,字节长度为mLen, mLen £ k – 2hLen – 2 L 可选的标签,没有时设为...
RSA组件之最优非对称加密填充(OAEP)的实现(C源码)
洛奇看世界
10-30 8093
RSA组件之最优非对称加密填充(OAEP)的实现(C源码) 1. RSA 算法中使用 OAEP 最优非对称加密填充函数 在非对称加密算法 RSA 中,算法本身非常简洁,公钥 (e,n)(e, n)(e,n), 私钥$ (d, n)$。 加密: C = Me mod nC\ =\ M^e\ mod\ nC = Me mod n 解密: M = Cd mod nM\ =\ C^d\ mod
RSA组件之掩码生成函数(MGF)的实现(C源码)
洛奇看世界
10-24 3312
RSA组件之MGF(Mask Generation Function)实现 文章目录RSA组件之MGF(Mask Generation Function)实现1. RSA 算法中使用 MGF 函数1.1 OAEP 中对 MGF 的调用1.2 PSS 中对 MGF 的调用2. RFC 8017 中关于 MGF 函数的描述3. MGF 函数代码3.1 实现代码3.2 测试代码3.3 编译代码和并测试4. 其它 1. RSA 算法中使用 MGF 函数 在非对称加密算法 RSA 中,如果加密模式为 RSA-OAEP
rsa加密算法加密与解密过程解析.pdf
07-13
rsa加密算法加密与解密过程解析.pdfrsa加密算法加密与解密过程解析.pdfrsa加密算法加密与解密过程解析.pdfrsa加密算法加密与解密过程解析.pdfrsa加密算法加密与解密过程解析.pdfrsa加密算法加密与解密过程解析.pdf
微信小程序 RSA加解密
01-08
微信小程序RSA加解密是一种在小程序开发中实现数据安全传输的技术。RSA,即Rivest-Shamir-Adleman,是一种非对称加密算法,它基于大整数因子分解的困难性,提供了数据加密和数字签名的服务。在微信小程序中,由于其...
.NET使用RSA加密解密的方法
01-20
本文实例为大家分享了.NET使用RSA加密解密的具体代码,供大家参考,具体内容如下 PassWordHelper.cs代码: using System; using System.IO; using System.Text; using System.Globalization; using System....
Delphi7 RSA加密解密 json解析 大华平台接口
01-20
在这个项目中,我们主要关注的是使用Delphi7进行RSA加密解密以及JSON解析,这些都是与大华平台接口交互的基础技术。下面将详细阐述这些知识点。 首先,**RSA加密解密**是一种非对称加密算法,由Ron Rivest、Adi ...
Delphi RSA加密解密代码
11-12
采用OpenSSL进行RSA加密解密,对...3、支持PKCS#1 v1.5、PKCS#1 OAEP、SSL v2等填充方式。 4、支持生成密钥对。 5、支持将文本加密为Base64或Hex格式。 注意此代码引用了mORMot中的SynCommons单元文件,请自行下载。
加密填充AES和RSA
qunimaode的博客
05-30 970
加密填充 只针对 aes 和rsa 加密。rsa签名是另外一个填充方式。其他加密算法使用不多。 为什么需要填充? 为什么需要知道填充? 为什么需要填充RSA和AES虽然属于两种截然不同的加密类型,但它们都属于块密码的应用范畴。 1.AES的块大小是固定的16字节,RSA的块大小根据密钥长度和填充方式而定。由于AES每次只能处理固定长度的数据(即一个块大小),当数据大小不是块大小的整数倍时,就需要对原始数据进行填充,因此填充对AES来说是技术原理上的需求。因为无法保证数据一定是对齐的。 2.RSA则不
OAEP--最优非对称加密填充
qq_39743001的博客
05-25 5079
OAEP(最优非对称加密填充) 【【思考】】:RSA的短明文可以导致密文易遭受攻击,因为一些短明文对应的密文中存在”先验信息“,这个”先验信息“对攻击者Malice来说就是好事,但对于用户就非常不好。这里就思考,简单的给明文填充伪数据(填充位)也许可以对攻击者Malice的工作变得困难些,比如说: (1)在原明文后面添加t个(t是随机的)零,要保证添加后的明文的长度要小于模数N,否则会出现me=(m’)e=c ( mod N)这种情况,也就是说两种明文加密为同一个密文; (2)在原明文后串接上原明文的Ha
加密算法的简易应用
突破吧!次元壁
12-01 1075
在介绍如何使用实现加密之前,首先来介绍一个类.这是java自带的加密实现类,也是本文依赖的重点。创建实例通过调用静态方法其中algorithm不做过多解释,就是AES/DES/RSA这样的具体具体加密算法。mode这里只介绍两种比较常见的CBC和ECB,至于OFB这种高阶模式,ECB全程是 Electronic CodeBook,它会将要加密明文msg分为固定长度,比如64,然后独立加密每一组。
掌握Go的加密技术:crypto/rsa库的高效使用指南
最新发布
walkskyer的博客
02-06 1662
在本文中,我们全面探讨了 Go 语言的 crypto/rsa 库,涵盖了从基本原理到实际应用的各个方面。通过深入了解 RSA 加密算法的工作原理和在 Go 中的实现,我们展示了如何使用这一强大的库进行密钥生成、数据加密解密、以及数字签名和验证。我们首先介绍了 RSA 加密的基础知识和 crypto/rsa 库的主要功能。接着,详细讨论了在 Go 项目中如何安装和配置此库,并展示了生成 RSA 密钥对的实际操作。在加密和解密部分,我们提供了具体的代码示例,说明了如何安全有效地处理数据。
PKCS1 OAEP PADDING的理解
悦途的专栏
07-12 354
OAEP填充过程: 需要准备: Hash 函数:输出长度为hLen字节的摘要函数; MGF :掩码产生函数; 随机数生成函数(用于生成seed,seed长度和hLen相同 RSA密钥对模长k bytes 明文最大长度mLen小于等于k – 2hLen – 2(2hLen=seedLen+lHash, 2: 00 and 01) lHash为L, L为可选标识,如果L为空时,取空值HASH; 填充生成过程: L长度判断,不能超出限制(比如261 – 1 octets for SHA-1);
android 11 后台启动service不能访问camera(摄像头)解决
qunimaode的博客
04-13 6325
Android 11 后台启动service不能访问camera(摄像头)解决 Android 11增加了权限,在后台启动一个service,无法访问摄像头。 解决方案 解决方案分为两类:1.启动者有前台activity;2启动者本身是一个后台服务。 启动者有前台activity 在需要启动的服务里面增加前台服务的标签,注明需要使用camera。这个比较简单,直接贴代码。 <service android:name="xxxxxxx" and
EVP_PKEY_CTX_set_rsa_mgf1_md函数
06-03
EVP_PKEY_CTX_set_rsa_mgf1_md 函数是 OpenSSL 库中用于设置 RSA OAEP 填充模式中使用的 MGF1 哈希函数的函数。该函数需要传入一个 EVP_PKEY_CTX 结构体指针和一个 EVP_MD 结构体指针作为参数,用于设置 OAEP 填充模式中使用的 MGF1 哈希函数。其中,EVP_MD 结构体可以通过 EVP_get_digestbyname 函数获取。 具体用法如下: ```c int EVP_PKEY_CTX_set_rsa_mgf1_md(EVP_PKEY_CTX *ctx, const EVP_MD *md); ``` 其中,ctx 表示一个 EVP_PKEY_CTX 结构体指针,表示要设置的 RSA OAEP 填充模式的上下文;md 表示一个 EVP_MD 结构体指针,表示要设置的 MGF1 哈希函数。 该函数的返回值为 int 类型,表示设置是否成功。如果设置成功,则返回 1,否则返回 0。 需要注意的是,EVP_PKEY_CTX_set_rsa_mgf1_md 函数只能用于 RSA OAEP 填充模式中使用的 MGF1 哈希函数的设置,如果要设置 RSA PKCS#1 v1.5 填充模式中使用的 MGF1 哈希函数,则需要使用 EVP_PKEY_CTX_set_rsa_pss_mgf1_md 函数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值