Безопасно ли использовать следующую библиотеку шифрования AES в PHP / Java?
Когда я искал реализацию AES Encryption/Decryption, я нашел несколько ссылок на вопросы в SO, например:
- AES Encryption Java → PHP → Java
- Шифрование AES в java
- AES-шифрование и уязвимость
- Безопасно ли использовать PBKDF2 с SHA256 для генерации 128-битных ключей AES?
А также я нашел следующую веб-страницу, которая предлагает простую в использовании реализацию алгоритма AES Encryption/Decryption в PHP и Java как библиотеку.
Вопрос: Безопасно ли использовать эту библиотеку реализации AES непосредственно в наших проектах разработки в реальном времени?
Это может потребовать от вас выполнения реализации исходного кода. Так как он длиннее, может возникнуть реализация PHP, после того как я поместил основную часть исходного кода Java этой библиотеки.
import java.io.UnsupportedEncodingException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Arrays;
import javax.crypto.Cipher;
import javax.crypto.spec.SecretKeySpec;
import org.apache.commons.codec.binary.Base64;
/**
Aes encryption
*/
public class AES
{
private static SecretKeySpec secretKey ;
private static byte[] key ;
private static String decryptedString;
private static String encryptedString;
public static void setKey(String myKey){
MessageDigest sha = null;
try {
key = myKey.getBytes("UTF-8");
System.out.println(key.length);
sha = MessageDigest.getInstance("SHA-1");
key = sha.digest(key);
key = Arrays.copyOf(key, 16); // use only first 128 bit
System.out.println(key.length);
System.out.println(new String(key,"UTF-8"));
secretKey = new SecretKeySpec(key, "AES");
} catch (NoSuchAlgorithmException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (UnsupportedEncodingException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
public static String getDecryptedString() {
return decryptedString;
}
public static void setDecryptedString(String decryptedString) {
AES.decryptedString = decryptedString;
}
public static String getEncryptedString() {
return encryptedString;
}
public static void setEncryptedString(String encryptedString) {
AES.encryptedString = encryptedString;
}
public static String encrypt(String strToEncrypt)
{
try
{
Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
cipher.init(Cipher.ENCRYPT_MODE, secretKey);
setEncryptedString(Base64.encodeBase64String(cipher.doFinal(strToEncrypt.getBytes("UTF-8"))));
}
catch (Exception e)
{
System.out.println("Error while encrypting: "+e.toString());
}
return null;
}
public static String decrypt(String strToDecrypt)
{
try
{
Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5PADDING");
cipher.init(Cipher.DECRYPT_MODE, secretKey);
setDecryptedString(new String(cipher.doFinal(Base64.decodeBase64(strToDecrypt))));
}
catch (Exception e)
{
System.out.println("Error while decrypting: "+e.toString());
}
return null;
}
}
Примечание. Пожалуйста, не отмечайте это как слишком расширенный вопрос и игнорируйте его, я спрашиваю, потому что я должен быть уверен, прежде чем использовать его для своего следующего проекта.
Заранее благодарю за ваше драгоценное время!
1 ответ
Нет, вы абсолютно не должны использовать этот код.
Класс AES не должен содержать дайджест, который не является частью AES. ЕЦБ небезопасен; даже CBC, вероятно, небезопасен без целостности/аутентификации. Исключения перетасовываются под стол и приводят к возврату null. Между исключениями выполнения и исключениями, которые генерируются недействительными вводами и выводами, нет никакой разницы. Поля неправильные. Используется кодировка по умолчанию. На самом деле, если бы у меня был лист оценки, он бы провалился примерно на половину очков, как минимум.
Чтобы иметь возможность использовать криптографию, вам нужно как минимум минимальное понимание предмета. В противном случае вам нужно оставить его специалистам или вам нужно использовать заранее разработанные решения известных экспертов. Просто захват кода из Интернета даст вам только ложное ощущение безопасности и источник невозможности исправить ошибки.
-
0Я набрал это за 3 минуты, а это значит, что я даже не очень внимательно посмотрел на код. Битовая корзина слишком хороша для этого кода.
-
0Ну, у меня есть хорошее понимание криптографии. Но дело в том, что мне нужно знать, есть ли какая-либо уязвимость в использовании библиотеки, созданной кем-то в наших проектах на уровне производства, без необходимости изобретать велосипед. Потому что, похоже, они уже знают, как работает мой алгоритм шифрования. это оно!
Ещё вопросы
- 0FOSUserBundle MappingException
- 1Загрузка файла через FormData
- 1Bluetooth на 2.0+
- 1Как исправить этот код, чтобы он работал правильно
- 1Тип String.call.call? [Дубликат]
- 0Метод uploadStoredFiles не существует в jQuery.fineUploader
- 1Как я могу использовать AddOrUpdate .NET ConcurrentDictionary с моим пользовательским POCO?
- 1Как отфильтровать строки панд на основе последней / следующей строки?
- 0Передайте два значения из поля выбора, как только его выберут
- 0Удержание курсора мыши над ручкой при перемещении мыши
- 1Google Script не может прочитать свойство «0»
- 0Можете ли вы неявно вызвать метод, основанный на объекте
- 0PrestaShop WebService - обновление цен на различные продукты
- 1Функция хеширования Java MD5, дающая неправильный хеш
- 0PHP time () для Date / Time, возвращающих странные результаты
- 1Ошибка входа в GooglePlayServices для игры Unity
- 1динамическое условие if из строки [duplicate]
- 1Добавить дизъюнктивное уточнение тега в Algolia JS Helper
- 1Нажмите на ссылку, используя селен вебдрайвер
- 1Правка текста переходит к следующим правкам текста после достижения максимальной длины текста правки.
- 0$ (<input />). attr ({xxxxxxxxx}). html ();
- 1multiprocessing - Влияние числа на процесс на время обработки
- 0Как внедрить контроллер как зависимость при использовании нотации «Контроллер как»?
- 0Использование JQuery для редактирования атрибутов данных на определенных элементах DOM
- 0Winsock send () проблема с однобайтовой передачей
- 0Работа с XML-файлом и PHP
- 0Сортировка пользовательского связанного списка с помощью <алгоритма> сортировки
- 0SDL2 основная система тиканья (openGL)
- 1Установка яркости фильтра родителя без влияния на дочерний элемент
- 1Круглый поплавок до ближайшего 2/100
- 0Статическая инициализация члена класса шаблона
- 1Уведомление о флаттере пусто, когда приложение находится в фоновом режиме
- 0$ watch или проблема с привязкой к модели?
- 11D массив в 2D массив в Javascript
- 0Angular Как лучше использовать мой сервис
- 1Как выбрать тот же вариант, который был выбран на другой странице
- 0AngularJS Valdiation не работает с директивой People Picker
- 0Цикл чтения строк в C ++
- 0Горизонтальная страница контента Windows 8
- 1ListView Windows 8, можем ли мы изменить поведение Swipe влево / вправо на Swipe Up / Down
- 1org.hibernate.id.IdentifierGenerationException: при сохранении данных в сопоставлении один в один
- 0о removeClass из родительского элемента
- 0Странное поведение file_get_contents
- 1чтение файла xml и переупорядочение элементов на основе схемы xsd
- 1Подсчитать количество каждого символа в строке
- 0Класс для подключения к БД, как использовать
- 0Не удается заставить этот модульный тест (на помощнике) работать без исключений - AngularJS, Karma, Jasmine
- 0Есть ли способ добавить HTML-код в атрибут 'alt', используя fancybox?
- 1Предварительные знания об атрибутах?
- 1Сохранение файлового объекта с помощью matplotlib savefig, создание tar-файла из нескольких рисунков SVG
Cipher.getInstance("AES/ECB/PKCS5Padding");Не используйте ECB, используйте CBC. Кроме того, вы должны аутентифицировать свои шифротексты .