加密与安全_Java 加密体系 (JCA) 和 常用的开源密码库

文章目录

  • Java Cryptography Architecture (JCA)
  • 开源国密库
  • 国密算法
    • 对称加密(DES/AES⇒SM4)
    • 非对称加密(RSA/ECC⇒SM2)
    • 散列(摘要/哈希)算法(MD5/SHA⇒SM3)
  • 在线生成公钥私钥对,RSA公私钥生成
  • 参考

在这里插入图片描述


Java Cryptography Architecture (JCA)

https://docs.oracle.com/javase/8/docs/technotes/guides/security/crypto/CryptoSpec.html

Java加密体系(Java Cryptography Architecture,JCA)是Java平台的一部分,它提供了一套用于加密、密钥生成和管理的API。JCA的设计目标是能够插入不同的加密服务提供者(Cryptography Service Providers,CSP),使得Java应用程序能够在各种加密算法和协议中灵活选择。
JCA的主要组件包括:

  1. Cipher类:用于加密和解密数据的类。它支持多种加密模式,如电子密码本(ECB)、密码块链(CBC)、计数器(CTR)等,以及多种填充模式,如PKCS5Padding、NoPadding等。
  2. Key接口和其子类:表示加密密钥的接口,有不同类型的密钥,如SecretKey、PublicKey和PrivateKey。
  3. KeyPairGenerator和KeyGenerator类:用于生成密钥对和密钥的类。
  4. KeyStore类:用于存储和管理密钥和证书的类。
  5. MessageDigest类:用于生成哈希摘要的类,支持多种哈希算法,如MD5、SHA-1、SHA-256等。
  6. Signature类:用于生成和验证数字签名的类。
  7. SecureRandom类:用于生成安全随机数的类。
  8. Security类和Provider类:Security类用于管理已安装的加密服务提供者,而Provider类则是加密服务提供者的基类。

JCA还支持加密算法的参数设置,如密钥大小、迭代次数等,通过AlgorithmParameterSpec接口及其子类实现。


Java加密体系(JCA)支持多种加密算法,包括对称加密、非对称加密、哈希(散列)算法和数字签名算法。JCA支持的常见加密算法:

对称加密算法:

  • AES (Advanced Encryption Standard)
  • DES (Data Encryption Standard)
  • DESede (Triple DES)
  • RC2 (Rivest Cipher 2)
  • RC4 (Rivest Cipher 4)
  • Blowfish
  • Camellia

非对称加密算法:

  • RSA
  • DSA (Digital Signature Algorithm)
  • EC (Elliptic Curve)算法,包括ECDSA和ECDH

哈希(散列)算法:

  • MD5 (Message Digest 5)
  • SHA-1 (Secure Hash Algorithm 1)
  • SHA-256 (SHA-2 family)
  • SHA-384 (SHA-2 family)
  • SHA-512 (SHA-2 family)

数字签名算法:

  • RSA
  • DSA
  • ECDSA (Elliptic Curve Digital Signature Algorithm)

这些算法可以用于各种加密操作,如数据加密、密钥交换、哈希生成和数字签名。JCA通过Cipher类、Signature类、MessageDigest类等提供了对这些算法的支持。

随着加密技术的发展和安全性的变化,一些算法(如MD5和SHA-1)由于已不再被认为是安全的,因此在某些情况下可能不再推荐使用。

Demo示例

import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;public class JCACryptoExample {public static void main(String[] args) throws Exception {// 生成AES密钥KeyGenerator keyGenerator = KeyGenerator.getInstance("AES");keyGenerator.init(128); // 设置密钥大小为128位SecretKey secretKey = keyGenerator.generateKey();// 加密数据Cipher cipher = Cipher.getInstance("AES");cipher.init(Cipher.ENCRYPT_MODE, secretKey);String plainText = "This is a secret message!";byte[] encryptedBytes = cipher.doFinal(plainText.getBytes());String encryptedBase64 = Base64.getEncoder().encodeToString(encryptedBytes);System.out.println("Encrypted (Base64): " + encryptedBase64);// 解密数据cipher.init(Cipher.DECRYPT_MODE, secretKey);byte[] decryptedBytes = cipher.doFinal(Base64.getDecoder().decode(encryptedBase64));String decryptedText = new String(decryptedBytes);System.out.println("Decrypted: " + decryptedText);}
}

首先使用KeyGenerator生成一个AES密钥。然后,我们创建一个Cipher实例来初始化加密模式,并使用生成的密钥对字符串进行加密。加密后的数据被转换为Base64编码的字符串以便于显示。接着,我们重新初始化Cipher以解密模式,并使用相同的密钥对加密后的数据进行解密,最后将解密后的数据转换回原始字符串


开源国密库

名称描述GitHub
crypto-jsMD5、SHA1、SHA2、SHA3、RIPEMD-160 的哈希散列,AES、DES、Rabbit、RC4、Triple DES 对称加解密https://github.com/brix/crypto-js
JSEncrypt非对称RSA加解密,只支持浏览器,不支持Nodehttps://github.com/travist/jsencrypt
node-rsa支持Node运行的RSA加解密库https://github.com/rzcoder/node-rsa
Web Cryptography APIW3C制定的密码规范API,主流浏览器、Node15都已支持https://developer.mozilla.org/en-US/docs/Web/API/Web_Crypto_API
opensm开源国密SM2/SM3/SM4算法,基于GmSSL,基于OpenSSL1.1.0,7年前(老)https://github.com/zhangyantao/opensm
TencentKonaSMSuite腾讯开源的国密套件SDK(Java)https://github.com/tencent/TencentKonaSMSuite
sm-crypto国密算法sm2、sm3和sm4的JavaScript实现,有关联java版https://github.com/JuneAndGreen/sm-crypto
gm-crypto国密算法sm2、sm3和sm4的JavaScript实现https://github.com/byte-fe/gm-crypto
sm-crypto-v2国密算法 sm2、sm3 和 sm4 的 JavaScript 实现https://github.com/Cubelrti/sm-crypto-v2
GmSSL北京大学国密开源库,包含多个版本Java、JS、PHP、Go…,没有npm包https://github.com/guanzhi/GmSSL
Tongsuo 铜锁阿里开源的综合性基础密码库,功能比较全https://github.com/Tongsuo-Project/Tongsuo

国密算法

在这里插入图片描述

国产密码算法(国密算法)是指国家密码局认定的国产商用密码算法,在一般信息化系统开发中主要使用公开的SM2(非对称)、SM3(摘要)、SM4(对称)三类算法。

Base64是一种编码格式,并不属于加密,常用于数据传输、兼容性问题。Base64编码本质上是一种将二进制数据转成文本数据的方案,将一些不适合传输的数据内容进行编码来适合传输。

对称加密(DES/AES⇒SM4)

🔸基本特点:

  • 同一个秘钥进行加密、解密。因此秘钥的保密性就很重要,不能泄漏。
  • 计算量小、效率高。

🔸应用场景:

  • 数据加密存储。
  • 加密通信,如HTTPS、SSL、VPN,会与其他加密算法混合使用。

非对称加密(RSA/ECC⇒SM2)

🔸基本特点:

  • 密钥配对:一个私钥、一个公钥,用私钥加密,用公钥解密。注意每一个密钥对都是独一无二、天生一对的,只能配对的秘钥加密、解密。简单来说,公钥加密的数据,只能配对的私钥才能解密。
  • 安全性高,但计算量大。
  • 基本原理:利用某一数学公式,正向计算容易,反向推理则非常难。

🔸应用场景:

  • HPPTS、SSH协议,如Git的ssh认证。
  • HTTPS的安全传输就是混合了非对称加密、对称加密,非对称加密协商会话秘钥,用会话秘钥对称加密传输数据。
  • 敏感数据的加密传输,如客户端登录时传输用户名、密码信息时,采用公钥加密数据,服务端私钥解密。
  • 对数据进行签名、验签,保障数据的完整性,同时验证身份。

散列(摘要/哈希)算法(MD5/SHA⇒SM3)

🔸基本特点:

  • 无需秘钥,“加密”后的数据不可逆。所以这也不算是“加密”,一般称为哈希(Hash)。
  • 任何长度的数据生成的哈希值长度都固定。
  • 相同数据每次生成的哈希值相同,不同的数据则不同。

🔸应用场景:

  • 数据摘要/哈希,验证数据是否被篡改、或数据丢失,保障数据的完整性、不可篡改性。
  • 单向加密保存数据,如密码的保存,密码的存储普遍都是存的哈希值,登录时比较其hash值即可。

🔸彩虹表破解:

由于散列算法的特点(同一数据生成哈希值始终一样),如果存储了大量(海量)字符内容的哈希值,就很容易进行查询破解了,这就是彩虹表,暴力破解也是一样的道理。常用的6位数字密码是相当容易破解的,如CMD5这个网站就利用存储的大量密文字典,反向查询破解。怎么解决呢?

  • 提升散列算法的安全性,常用方法就是加“盐”,核心思想就是在哈希过程中添加一些自定义的内容、规则,仅自己知道,从而避免被字典破解。

  • 最简单的比如在密文中某一位置添加一串随机字符,只有自己知道,使用的时候去掉干扰字符即可。

  • 加盐的具体方式很多,可以自己DIV,常用的一种模式如下图,加盐+双重哈希。 MD5(MD5(password) + salt)

  • 如果加盐的规则被窃取了,对于现代的硬件是挺容易被破解的,只能设置尽量复杂的密码+定期更换了。

📢实际应用中,可能会多种加密算法组合使用。

  • 比如HTTPS的安全数据传输就是同时用了对称加密、非对称加密,用非对称传送(动态)密钥,对称加密传输数据。 《HTTP协议图文简述》

  • 对一个数据进行多重加密,以防被破解


在线生成公钥私钥对,RSA公私钥生成

https://www.metools.info/code/c80.html

RSA非对称加密公私钥对生成,输出PEM格式的公私钥对,同时支持PKCS#1、PKCS#8密钥格式输出;生成的公私钥对,可拷贝到文本文件,保存为.key文件即可使用。

  • PEM格式:RSA公私钥对常用的编码方式,OPENSSL以PEM格式为主,相对DER可读性更强,以BASE64编码呈现;
    开头类似 -----BEGIN PRIVATE KEY-----
    结尾类似 -----END PRIVATE KEY-----

  • PKCS#8密钥格式,多用于JAVA、PHP程序加解密中,为目前用的比较多的密钥、证书格式;

  • PKCS#1密钥格式,多用于JS等其它程序加解密,属于比较老的格式标准。

  • PKCS#1和PKCS#8的主要区别,从本质上说,PKCS#8格式增加验证数据段,保证密钥正确性。


参考

国密SSL实验室
国家密码管理局-密码规范
前端加密·国密算法
一文读懂“密评”实施流程

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/363285.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Docker Compose 入门

想象一下在服务器上运行静态页面的场景。对于这项任务,NGINX 服务器是一个不错的选择。我们在 static-site/index.html 路径下有一个简单的 HTML 文件: 通过使用 Docker,我们将使用以下官方镜像运行 NGINX 服务器 docker run --rm -p 8080:…

spring boot jar 启动报错 Zip64 archives are not supported

spring boot jar 启动报错 Zip64 archives are not supported 原因、解决方案问题为什么 spring boot 不支持 zip64zip、zip64 功能上的区别zip 的文件格式spring-boot-loader 是如何判断是否是 zip64 的? 参考 spring boot 版本是 2.1.8.RELEASE,引入以…

Hi3861 OpenHarmony嵌入式应用入门--中断按键

本篇讲解gpio的中断使用方式。 硬件原理图如下,与上一篇一样的电路 GPIO API API名称 说明 hi_u32 hi_gpio_init(hi_void); GPIO模块初始化 hi_u32 hi_io_set_pull(hi_io_name id, hi_io_pull val); 设置某个IO上下拉功能。 hi_u32 hi_gpio_set_dir(hi_gpio_…

汽车零部件制造企业如何选择合适的ESOP电子作业指导书系统

随着汽车产业的不断发展,汽车零部件制造企业在提高生产效率和产品质量方面面临着越来越大的挑战。为了解决这些问题,越来越多的汽车零部件制造企业开始采用ESOP电子作业指导书系统,以帮助他们管理和优化生产流程。但是,在选择合适…

three.js - MeshPhongMaterial材质(实现玻璃水晶球效果)

1、概念 phong网格材质:Mesh - Phong - Material 一种用于具有镜面高光的光泽表面的材质。 它可以模拟,具有镜面高光的光泽表面,提供镜面反射效果。 MeshPhongMaterial: MeshPhongMaterial是一种基于Phong光照模型的材质&#…

FreeRTOS信号量和互斥量

信息量 简介 信号量是一种解决同步问题的机制,可以实现对共享资源的有序访问。 前面介绍的队列(queue)可以用于传输数据:在任务之间、任务和中断之间。 消息队列用于传输多个数据,但是有时候我们只需要传递状态,这个状态值需要用…

招聘,短信与您:招聘人员完整指南

招聘人员面临的最大挑战之一就是沟通和联系候选人。为何?我们可以从以下原因开始:候选人通常被太多的招聘人员包围,试图联系他们,这使得你很难吸引他们的注意。在招聘过程的不同阶段,根据不同的工作量,让申请人保持最…

8.12 矢量图层面要素单一符号使用七(随机标记填充)

文章目录 前言随机标记填充(Random Marker Fill)QGis设置面符号为随机标记填充(Random Marker Fill)二次开发代码实现随机标记填充(Random Marker Fill) 总结 前言 本章介绍矢量图层线要素单一符号中使用随…

Swift 6:导入语句上的访问级别

文章目录 前言示例启用 AccessLevelOnImport破坏性变更采用这些更改总结前言 SE-0409 提案引入了一项新功能,即允许使用 Swift 的任何可用访问级别标记导入声明,以限制导入的符号可以在哪些类型或接口中使用。由于这些变化,现在可以将依赖项标记为对当前源文件(private 或…

element-plus 日期选择添加确定按钮

需求&#xff1a;选择日期后&#xff0c;点击确定按钮关闭面板 思路&#xff1a; 使用shortcuts自定义确定和取消按钮选择日期后使用handleOpen()强制开启面板点击确定后使用handleClose()关闭面板 <template><el-date-pickerref"pickerRef"v-model"…

龙国南方航空滑块acw_v2+cookie+风控处理+type后缀

声明 本文章中所有内容仅供学习交流使用&#xff0c;不用于其他任何目的&#xff0c;抓包内容、敏感网址、数据接口等均已做脱敏处理&#xff0c;严禁用于商业用途和非法用途&#xff0c;否则由此产生的一切后果均与作者无关&#xff01; 本文章未经许可禁…

华火新能源电燃灶:电生明火,开启电能新时代

在当今能源消耗与环境保护日益受到关注的时代&#xff0c;华火新能源电燃灶“电生明火”应运而生&#xff0c;以其卓越的性能和创新的技术&#xff0c;为我们的生活带来了全新的变革。 一、安全至上 安全&#xff0c;是我们生活中最基本的需求。华火新能源电燃灶采用了先进的多…

FFmpeg+javacpp+javacv使用

FFmpegjavacppjavacv使用 Bytedeco官网案例1、导入opencv、ffmpeg依赖包2、FFmpeg 数据结构2.1 AVFormatContext 格式化I/O上下文2.1.1 metadata2.1.2 Duration、start、bitrate等其他信息2.1.3 dump信息 Bytedeco GitHub&#xff1a;javacpp Bytedeco官网案例 FFmpeg – [示例…

基于 SpringBoot + Vue 的图书购物商城项目

本项目是一个基于 SpringBoot 和 Vue 的图书购物商城系统。系统主要实现了用户注册、登录&#xff0c;图书浏览、查询、加购&#xff0c;购物车管理&#xff0c;订单结算&#xff0c;会员折扣&#xff0c;下单&#xff0c;个人订单管理&#xff0c;书籍及分类管理&#xff0c;用…

一个AI图片生成工具导航网站

上周末上线了一个AI图片生成工具导航网站&#xff0c;主要是面向AI图片工具这个垂直领域。 https://chatgpt-image-generator.com/ 目标是通过收集当下的一些工具&#xff0c;然后进行分类管理&#xff0c;一方面方便大家发现新的工具&#xff0c;另一方面能够更加有针对性、…

利用Matlab制作Gif图

Gif图相当于是由许多张图片拼接而成的一个“短视频”&#xff0c;因此在制作Gif图之前我们需要先准备多张图片。以下代码实现的是在当前路径下创建了一个image文件夹&#xff0c;并将绘制的HRRP通过saveas函数保存至image文件夹中&#xff0c;并命名为1.png、2.png、 %% 绘制H…

关于Mac mini 10G网口的问题

问题: 购入一个10G网口的Mac mini M2&#xff0c;将其和自己的2.5G交换机连接&#xff0c;使用共享屏幕进行远程操作的过程中出现了频率极高的卡顿&#xff0c;几乎是几秒钟卡一下&#xff0c;使用ping进行测试发现卡的时候就ping不通了。测试使用Mac mini的无线网和雷电转2.5G…

CISCN--西南半决赛--pwn

1.vuln 这是主函数&#xff0c;数一下就发现可以溢出最后的0x4008d0 然后会执行到这里&#xff0c;逻辑就是在v0上写shellcode&#xff0c;不过执行写0x10&#xff0c;不够sh&#xff0c;很明显要先read。 以下是exp: from pwn import * context.archamd64 ioprocess(./vuln)…

【Android】【Compose】Compose里面的Row和Column的简单使用

内容 Row和Column的简单使用方式和常用属性含义 Row 在 Jetpack Compose 中&#xff0c;Row 是一种用于在水平方向排列子元素的布局组件。它类似于传统 Android 中的 LinearLayout&#xff0c;但更加灵活和强大。 Row的代码 Composable inline fun Row(modifier: Modifier…

LLM大模型实战 —— DB-GPT阿里云部署指南

简介&#xff1a; DB-GPT 是一个实验性的开源应用&#xff0c;它基于FastChat&#xff0c;并使用vicuna-13b作为基础模型, 模型与数据全部本地化部署, 绝对保障数据的隐私安全。 同时此GPT项目可以直接本地部署连接到私有数据库, 进行私有数据处理&#xff0c; 目前已支持SQL生…