在JAVA中使用AES/GCM檢測不正確的密鑰

Question

我正在使用AES使用BouncyCastle加密/解密GCM模式中的某些文件。
雖然我證明錯誤的解密密鑰，但沒有例外。
我應該如何檢查鑰匙是否有誤？
我的代碼是這樣的：

SecretKeySpec incorrectKey = new SecretKeySpec(keyBytes, "AES"); 
    IvParameterSpec ivSpec = new IvParameterSpec(ivBytes); 
    Cipher   cipher = Cipher.getInstance("AES/GCM/NoPadding", "BC"); 
    byte[] block = new byte[1048576]; 
    int i; 

    cipher.init(Cipher.DECRYPT_MODE, incorrectKey, ivSpec); 

    BufferedInputStream fis=new BufferedInputStream(new ProgressMonitorInputStream(null,"Decrypting ...",new FileInputStream("file.enc"))); 
    BufferedOutputStream ro=new BufferedOutputStream(new FileOutputStream("file_org"));   
    CipherOutputStream dcOut = new CipherOutputStream(ro, cipher); 

    while ((i = fis.read(block)) != -1) { 
     dcOut.write(block, 0, i); 
    } 

    dcOut.close(); 
    fis.close(); 

感謝

Answer 1

您正在使用NoPadding。對於加密和解密，將其更改爲PKCS7Padding。如果使用了錯誤的密鑰，那麼填充將幾乎肯定無法按預期解密，並且將引發InvalidCipherTextException。

Answer 2

沒有方法可以在GCM模式下檢測到不正確的鍵。您可以檢查的是驗證標記是否有效，這意味着您使用的是正確的密鑰。問題是，如果認證標籤不正確，那麼這可能表明以下每一項（或所有的組合，直至幷包括全面替代對密文和認證標籤的）：

1. 不正確的密鑰正在使用;
2. 計數器模式加密數據在傳輸過程中被更改;
3. 額外的認證數據已被更改;
4. 認證標籤本身在運輸過程中被更改。

你可以做的是發送額外的數據來識別使用的密鑰。這可能是一個可讀的標識符（"encryption-key-1"），但它也可能是KCV，一個關鍵檢查值。 KCV通常由用密鑰加密的零塊或密鑰（也稱爲指紋）上的密碼安全散列組成。由於零塊上的加密泄漏了信息，因此不應使用它來標識加密密鑰。

您實際上可以使用GCM模式的AAD功能來計算密鑰標識數據上的認證標籤。請注意，您無法區分是否損壞指紋和使用不正確的密鑰。然而，與IV，AAD，密文和認證標籤的整個結構相比，指紋不太可能被意外損壞。