BouncyCastle ECDH密钥协议失败

Question

我使用BouncyCastle API实现了椭圆曲线Diffie密码学。但是，关键的协议似乎并没有正常运作。印错了。

我哪里做错了？谢谢。

ECParameterSpec ecSpec = ECNamedCurveTable.getParameterSpec("B-571");

    KeyPairGenerator g = KeyPairGenerator.getInstance("ECDH", "BC");

    g.initialize(ecSpec, new SecureRandom());

    KeyPair aKeyPair = g.generateKeyPair();

    KeyAgreement aKeyAgree = KeyAgreement.getInstance("ECDH", "BC");

    aKeyAgree.init(aKeyPair.getPrivate());

     KeyPair bKeyPair = g.generateKeyPair();

    KeyAgreement bKeyAgree = KeyAgreement.getInstance("ECDH", "BC");

    bKeyAgree.init(bKeyPair.getPrivate());

    //
    // agreement
    //
    aKeyAgree.doPhase(bKeyPair.getPublic(), true);
    bKeyAgree.doPhase(aKeyPair.getPublic(), true);

    byte[] aSecret = aKeyAgree.generateSecret();
    byte[] bSecret = bKeyAgree.generateSecret();

    System.out.println(aSecret);
    System.out.println(bSecret);
    if (aSecret.equals(bSecret)){
        return true;
    } else { return false; }

Answer 1

当我用弹跳城堡1.49进行测试时，它确实正常工作。但是，您正在使用错误的方法进行比较。

• 如果您需要时间常数比较，请使用MessageDigest.isEqual.
• 如果不需要时间常数比较，请使用Arrays.equals。

若要打印字节数组的内容，请使用Arrays.toString

System.out.println(Arrays.toString(aSecret));
System.out.println(Arrays.toString(bSecret));
return MessageDigest.isEqual(aSecret, bSecret);

编辑: OP要求我解释“时间常量比较”是什么意思，所以这里说:时间常数比较需要同样的时间来运行，不管这两个字符串是否匹配。如果两个字符串有错配，非时间常量比较通常需要较少的时间运行，并且运行时取决于不匹配的位置:当发现第一个不匹配时，比较停止。

你是否需要时间常数比较取决于你是否有时间预言。也就是说，比较所用的时间会给攻击者提供有用的信息吗？

下面是一个计时甲骨文的例子:假设您是一个web服务器，向浏览器发送cookie。您不希望用户篡改cookie，因此需要附加cookie内容的HMAC：

cookie_to_send = hmac(cookie) + ":" + cookie

现在，当浏览器将cookie发回给您时，您将重新计算HMAC并查看它是否匹配：

mac, cookie = received_cookie.split(":")
compare(mac, hmac(cookie))

如果比较失败( mac与hmac(cookie)不匹配)，则拒绝请求。

在上面的compare操作中，非常非常重要的是，这是一个恒定时间的比较。否则，攻击者可以查看服务器拒绝请求所用的时间，并使用该时间推断预期的HMAC值。这是因为比较的一个组件( cookie中的HMAC值，在第一个:之前)由攻击者控制，并且攻击者可以逐字节调整其值，以查看每次拒绝所需的时间。

在您的示例中，您的字节数组(您正在比较的字节数组)是从generateSecret()生成的，这表明它不是由攻击者控制的。因此，从表面上看，似乎没有必要进行时间常数比较。但我不是安全专家所以我不确定。使用时间常量比较总是安全的(但如果比较的字符串很长，可能会很慢)，所以如果完全不确定，这就是我的建议。