判定加密算法

Question

我的要求:需要在服务器和客户端(J2EE)之间交换一些密钥。

键只是一段文字，可以是一个数字，字符串的大小可能不会超过30个字符。

由于密钥是敏感的，所以我正在考虑加密它，并在收到同样的密钥时将其解密。

Q1)遗留代码正在使用'PBEWithMD5AndDES‘。我想知道它是否合适。

在业绩方面，哪一个更好？

更新：

• 客户端没有逻辑。服务器向客户端发送加密字符串，客户端返回该字符串。就像jsessionid一样。
• 密钥不像信用卡号码那么敏感。但是它需要以不可读的格式交换，比普通编码技术

要好。

更新2：

这里是

• 的场景。我们向客户端发送电子邮件，其中包括从警报中“取消订阅”。单击该链接将禁用警报而不提示登录。因此，我加密了他的userID，并将其包含在取消订阅链接中。在服务器端，我解密并禁用他/她的警报。因此，黑客传递的参数不起作用。

Answer 1

我可能会让服务器和客户端同时生成私钥和公钥，然后加密密钥以便与接收方的公钥交换。

或者使用一些强的，对称的密钥，比如AES256。

我会避免在新系统中使用DES，因为它很旧，而且已经被证明是易碎的。

就实际实现而言，我不完全确定问题中是否有足够的细节。

Answer 2

AES256是个不错的选择。坚实的，并期待成为未来的证据。但它的性能会很重。另一个选择是RC4。

Answer 3

如果客户端没有使用它作为一种会话令牌，那么为什么要加密呢？

除了秘密之外，还可以使用会话中持有的散列或随机值。