AES工具类及漏铜修复

最新推荐文章于 2024-05-16 17:30:39 发布
最新推荐文章于 2024-05-16 17:30:39 发布
阅读量3.4k 收藏 5
点赞数 3
分类专栏: Java基础 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42324471/article/details/120506134
版权

在使用Sonar扫描代码是发现AES工具类提示如下漏洞
在这里插入图片描述
很明显。漏洞存在于红色方框
Cipher cipher = Cipher.getInstance(“Blowfish/ECB/PKCS5Padding”);
查看漏洞详细信息,可以看到漏洞的现象情况,及正确示例
存在漏洞的使用方式

Cipher c0 = Cipher.getInstance("AES"); // Noncompliant: by default ECB mode is chosen
Cipher c1 = Cipher.getInstance("AES/ECB/NoPadding"); // Noncompliant: ECB doesn't provide serious message confidentiality
Cipher c6 = Cipher.getInstance("AES/CBC/PKCS5Padding"); // Noncompliant: CBC with PKCS5 is vulnerable to oracle padding attacks
Cipher c9 = Cipher.getInstance("AES/CBC/PKCS7Padding"); // Noncompliant: CBC with PKCS7 is vulnerable to oracle padding attacks

正确的方式
Cipher c5 = Cipher.getInstance(“AES/GCM/NoPadding”); // Compliant
直接切换成这个模式后,提示如下错误
在这里插入图片描述
因为这里切换了加密模式,所以需要使用对应的加密模式的加密参数。
将原先的private static IvParameterSpec ivParameterSpec切换成
private static GCMParameterSpec gcMParameterSpec;
正确的AES加密工具类如下

public class Aes256Utils {
    /**
     * 密钥, 256位32个字节
     */
    public static final String DEFAULT_SECRET_KEY = "uBdUx82vPHkDKb284d7NkjFoNcKWBuka";

    private static final String AES = "AES";
    /**
     * 初始向量IV, 初始向量IV的长度规定为128位16个字节, 初始向量的来源为随机生成.
     */
    private static GCMParameterSpec gcMParameterSpec;

    /**
     * 加密解密算法/加密模式/填充方式
     */
    private static final String CIPHER_ALGORITHM = "AES/GCM/NoPadding";

    static {
        SecureRandom random = new SecureRandom();
        byte[] bytesIV = new byte[16];
        random.nextBytes(bytesIV);
        gcMParameterSpec = new GCMParameterSpec(128, bytesIV);
        ;
        java.security.Security.setProperty("crypto.policy", "unlimited");
    }

    /**
     * AES加密
     */
    public static String encode(String key, String content) {
        try {
            SecretKey secretKey = new SecretKeySpec(key.getBytes(), AES);
            Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);
            cipher.init(Cipher.ENCRYPT_MODE, secretKey, gcMParameterSpec);
            // 获取加密内容的字节数组(这里要设置为utf-8)不然内容中如果有中文和英文混合中文就会解密为乱码1
            byte[] byteEncode = content.getBytes(java.nio.charset.StandardCharsets.UTF_8);
            // 根据密码器的初始化方式加密
            byte[] byteAes = cipher.doFinal(byteEncode);
            // 将加密后的数据转换为字符串
            return Pbkdf2Utils.toHex(byteAes);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

    /**
     * AES解密
     */
    public static String decode(String key, String content) {
        try {
            SecretKey secretKey = new SecretKeySpec(key.getBytes(), AES);
            Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);
            cipher.init(javax.crypto.Cipher.DECRYPT_MODE, secretKey, gcMParameterSpec);
            // 将加密并编码后的内容解码成字节数组
            byte[] byteContent = Pbkdf2Utils.fromHex(content);
            // 解密
            byte[] byteDecode = cipher.doFinal(byteContent);
            return new String(byteDecode, StandardCharsets.UTF_8);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

}
有趣的灵魂_不世俗的心
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
RSA+AES 加密工具类 Java
03-13
适用于Android、Java、Web端使用的AES、RSA加密工具类
强大的AES加解密工具类
11-19
强大的AES加解密工具类,开箱即用。提供加解密和解决部分常见的bug AES 是 Advanced Encryption Standard 的缩写,是最常见的对称加密算法。AES 在密码学中又称 Rijndael 加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的 DES,已经被多方分析且广为全世界所使用。
AES加密算法介绍(附AES在线工具)
最新发布
迷失蒲公英
05-16 1636
,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。经过五年的甄选流程,高级加密标准由美国国家标准与技术研究院(NIST)于2001年11月26日发布于FIPS PUB 197,并在2002年5月26日成为有效的标准。现在,高级加密标准已然成为对称密钥加密中最流行的算法之一。AES是一种对称密钥算法,意味着加密和解密使用相同的密钥。这种算法非常高效,可以在处理大量数据时提供快速的加密和解密操作。
AES加密、解密工具类
Wang_WY的博客
03-20 3707
一、AES介绍 AES(Advanced Encryption Standard),中文名称高级加密标准。 AES是开发中常用的加密算法之一。然而由于前后端开发使用的语言不统一,导致经常出现前端加密而后端不能解密的情况出现。然而无论什么语言系统,AES 的算法总是相同的, 因此导致结果不一致的原因在于 加密设置的参数不一致 。于是先来看看在两个平台使用AES加密时需要统一的几个参数。 密钥长...
使用openssl AES ECB PKCS5Padding加解密遇到的问题(附源码示例)
技术与复利的博客
01-13 3431
使用openssl AES ECB PKCS5Padding加解密遇到的问题。
使用AES算法对文件进行加密/解密的操作(JAVA)
rungong123的专栏
03-24 4301
很简单,直接上代码。 /** * 初始化 AES Cipher * @param sKey * @param cipherMode * @return */ public Cipher initAESCipher(String sKey, int cipherMode) { //创建Key gen KeyG...
Java使用AES/EBC/PKCS5Padding加密,CryptoJS解密错误
lisen_123a的博客
09-15 757
Java AES/EBC/PKCS5Padding,CryptoJS 解密错误
pythonAES加密中的一些报错
Pvr1sC的博客
02-13 2898
在使用AES加密中,出现报错 from Crypto.Cipher import AES import base64 cipher = "u0uYYmh4yRpPIT/zSP7EL/MOCliVoVLt3gHcrXDymLc=" cipher_str = base64.b64decode(cipher) key_str = "n1book" key_str = (key_str.ljust(32, " ")) iv_str = "123456" iv_str = (iv_str.ljust(16, " ")
Base64工具类
10-20
Base64工具类包是Java开发中常用的辅助工具,主要用于数据的编码和解码,尤其在处理二进制数据转化为可打印的ASCII字符时非常有用。这个工具包通常与加密解密操作结合,例如在AES(Advanced Encryption Standard)...
c/c++ 与java互通 AES加密解密,算法ECB
09-05
最近需要和银行pos做数据通讯,银行端算法为java实现的 AES/ECB/PKCS5PADDING我也改不了, c/c++这边实现ECB算法本来就少,PKCS5PADDING的更是没有,索性自己动手。工作原因c和java都得熟悉,因此把java端和c/c++...
好用的AES加密解密工具(源码)
07-24
6. Aes.h、AES加密解密工具Dlg.h、AES加密解密工具.h:这些是头文件,定义了类和函数的接口,方便在其他文件中进行调用。 7. resource.h:资源头文件,包含了程序中使用的各种资源定义,如菜单、对话框、图标等。 ...
sosse-20020515.tar.gz_AES_aec
07-13
标题中的“sosse-20020515.tar.gz_AES_aec”揭示了这是一个与加密技术相关的软件包,特别提到了AES(高级加密标准)和aec(可能指的是错误纠正码或音频编码)。这个文件是用tar.gz格式打包的,这是一种在Unix和Linux...
Hutool JAVA工具集 v4.1.2
10-11
- `CryptoUtil`工具类提供了多种加密算法,如MD5、SHA、AES、DES等,方便进行数据安全处理。 4. **字符串处理**: - `StrUtil`工具类提供了大量的字符串操作方法,如格式化、拼接、截取、替换、正则匹配等,大大...
java | 使用Cipher类实现AES所有常用加密模式
橘生淮南
12-28 3660
java | 使用Cipher类实现AES所有常用加密模式
AES算法的两种工作方式
weixin_72764731的博客
07-15 246
将上面的代码不管执行多少次,只要不修改秘钥和明文的内容,得到的加密结果都是一致的,这样就使得安全性降低,在下面的CBC工作模式中,就会在每次加密时根据随机产生的IV参数使得相同的秘钥和明文,每次加密得到的结果都是不一样的。上面的两次运行结果可以看出在CBC工作模式下,相同的明文和秘钥由于随机的iv参数不同,每次的加密结果不同,相比于ECB工作模式,安全性得到了提高。上面的代码为CBC工作模式下进行的操作,与ECB工作模式相差不多,只是在加密和解密中添加了随机的。秘钥对象,然后调用cipher对象的。
java加解密算法
热门推荐
u010730870的博客
04-13 1万+
java加解密算法 最近在搞报文加解密的一些业务,一路总是坑坑洼洼的。 首先,部分内容是从别的地方搬运过来的。https://www.oschina.net/question/2534721_2143246?sort=default 知识点1: sonarLint对加密算法使用的一些规范: Encryption algorithms should be used with secure mode and padding scheme Vulnerability Blocker j.
DES 对称加密(已不安全,不推荐)
zhanglinlang的专栏
01-05 1565
目前已经被破解了,建议使用 AES 或PBE AES 加密链接: import com.sun.org.apache.xerces.internal.impl.dv.util.HexBin; import javax.crypto.*; import javax.crypto.spec.DESKeySpec; import java.io.UnsupportedEncodingException...
彻底告别加解密模块代码拷贝-JCE核心Cpiher详解
weixin_30257433的博客
08-15 544
前提 javax.crypto.Cipher,翻译为密码,其实叫做密码器更加合适。Cipher是JCA(Java Cryptographic Extension,Java加密扩展)的核心,提供基于多种加解密算法的加解密功能。在不了解Cipher之前,我们在完成一些需要加解密的模块的时候总是需要到处拷贝代码,甚至有些错误的用法也被无数次拷贝,踩坑之后又要拷贝补坑的代码。为什么不尝试理解Ci...
java加解密之AES算法的默认模式和填充方式
zhao_bao_hua的博客
05-05 1090
Cipher.getInstance("AES") 的默认模式和填充方式是 AES/ECB/PKCS5padding。
android aes工具类,AES工具类
05-18
以下是一个简单的 Android AES 工具类,用于加密和解密数据: ```java import android.util.Base64; import javax.crypto.Cipher; import javax.crypto.spec.IvParameterSpec; import javax.crypto.spec.SecretKeySpec; public class AESUtil { private static final String CIPHER_ALGORITHM = "AES/CBC/PKCS5Padding"; private static final String SECRET_KEY_ALGORITHM = "AES"; private static final String CHARSET = "UTF-8"; private static final byte[] IV_BYTES = new byte[]{0x41, 0x45, 0x53, 0x49, 0x56, 0x45, 0x43, 0x54, 0x4F, 0x52, 0x49, 0x56, 0x45, 0x53, 0x31, 0x32}; public static String encrypt(String data, String key) throws Exception { SecretKeySpec secretKeySpec = new SecretKeySpec(key.getBytes(CHARSET), SECRET_KEY_ALGORITHM); IvParameterSpec ivParameterSpec = new IvParameterSpec(IV_BYTES); Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM); cipher.init(Cipher.ENCRYPT_MODE, secretKeySpec, ivParameterSpec); byte[] encryptedData = cipher.doFinal(data.getBytes(CHARSET)); return Base64.encodeToString(encryptedData, Base64.DEFAULT); } public static String decrypt(String encryptedData, String key) throws Exception { SecretKeySpec secretKeySpec = new SecretKeySpec(key.getBytes(CHARSET), SECRET_KEY_ALGORITHM); IvParameterSpec ivParameterSpec = new IvParameterSpec(IV_BYTES); Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM); cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, ivParameterSpec); byte[] decryptedData = cipher.doFinal(Base64.decode(encryptedData, Base64.DEFAULT)); return new String(decryptedData, CHARSET); } } ``` 使用方法: ```java String key = "1234567890123456"; // 16位密钥 String data = "Hello World"; String encryptedData = AESUtil.encrypt(data, key); String decryptedData = AESUtil.decrypt(encryptedData, key); ``` 请注意,此示例仅用于演示目的。在实际应用中,需要更加严格的安全措施来保护您的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值