目前,我们正在加密用户从登录页面输入的密码并将其存储在数据库中。这里正在为内部目的开发一个新的登录页面,并重用相同的用户名和加密密码。如果用户已获得授权,则允许他访问报告。我的问题是,如何获取他们用于加密的密钥。想使用相同的密钥来解密密码,我可以继续我的逻辑。
这是我们用来加密密码加密方法的代码。
user = userRemote.loginUser(userName, new String(EncryptDecrypt.storePassword(password),"Cp1252"));
Here password is Password entered in the login page.
这是加密密码的方法。
final static byte[] salt = {
(byte)0xc7, (byte)0x73, (byte)0x21, (byte)0x8c,
(byte)0x7e, (byte)0xc8, (byte)0xee, (byte)0x99
};
final static int count = 1;
public static byte[] storePassword(char[] password) throws InternalException {
PBEKeySpec pbeKeySpec;
PBEParameterSpec pbeParamSpec;
SecretKeyFactory keyFac;
byte[] ciphertext = null;
try {
// Install SunJCE provider
Provider sunJce = new com.sun.crypto.provider.SunJCE();
Security.addProvider(sunJce);
// Create PBE parameter set
pbeParamSpec = new PBEParameterSpec(salt, count);
pbeKeySpec = new PBEKeySpec(password);
keyFac = SecretKeyFactory.getInstance("PBEWithMD5AndDES");
SecretKey pbeKey = keyFac.generateSecret(pbeKeySpec);
// Create PBE Cipher
Cipher pbeCipher = Cipher.getInstance("PBEWithMD5AndDES");
// Initialize PBE Cipher with key and parameters
pbeCipher.init(Cipher.ENCRYPT_MODE, pbeKey, pbeParamSpec);
// Our cleartext
byte[] cleartext = (new String(password)).getBytes("Cp1252");
// Encrypt the cleartext
ciphertext = pbeCipher.doFinal(cleartext);
} catch (BadPaddingException ex) {
log.error("EncryptDecrypt: " + ex.getMessage());
throw new InternalException(ex.getMessage());
} catch (Exception ex) {
log.error("EncryptDecrypt: " + ex.getMessage());
throw new InternalException(ex.getMessage());
}
return ciphertext;
}
这是我用来解密密码的类。这里我只加密密码作为解密密码的输入。例如•Ä0BÒ| O,因此使用相同的方法来生成密钥并对其进行解密。但是,低于例外。 java.security.spec.InvalidKeySpecException:密码不是ASCII
import java.security.*;
import javax.crypto.*;
import javax.crypto.spec.*;
public class DecryptPassword {
public static void main(String[] args) {
String decryptedStr = checkPassword("•Ä0BÒ¦O");
System.out.println("decryptedStr : "+decryptedStr);
}
final static byte[] salt = {
(byte)0xc7, (byte)0x73, (byte)0x21, (byte)0x8c,
(byte)0x7e, (byte)0xc8, (byte)0xee, (byte)0x99
};
final static int count = 1;
static String decryptedPassword = "";
public static String checkPassword(String encryptedPassword) {
PBEKeySpec pbeKeySpec;
PBEParameterSpec pbeParamSpec;
SecretKeyFactory keyFac;
try {
// Install SunJCE provider
Provider sunJce = new com.sun.crypto.provider.SunJCE();
Security.addProvider(sunJce);
// Create PBE parameter set
pbeParamSpec = new PBEParameterSpec(salt, count);
pbeKeySpec = new PBEKeySpec(encryptedPassword.toCharArray());
keyFac = SecretKeyFactory.getInstance("PBEWithMD5AndDES");
SecretKey pbeKey = keyFac.generateSecret(pbeKeySpec);
// Create PBE Cipher
Cipher pbeCipher = Cipher.getInstance("PBEWithMD5AndDES");
// Initialize PBE Cipher with key and parameters
pbeCipher.init(Cipher.DECRYPT_MODE, pbeKey, pbeParamSpec);
byte[] decrypted = pbeCipher.doFinal(encryptedPassword.getBytes());
decryptedPassword = decrypted.toString();
} catch (BadPaddingException ex) {
System.out.println("EncryptDecrypt: " + ex.getMessage());
} catch (Exception ex) {
System.out.println("EncryptDecrypt: " + ex.getMessage());
}
return decryptedPassword;
}
}
在这里,我应该能够成功解密密码,但不能。有人可以帮助我,这里缺少什么?提前致谢。
这不是加密,这是一个哈希! (轮辋次)
storePassword例程有效地使用密码来加密自身;更准确地说,PBEwithMD5andDES使用原始PKCS5v1派生函数从密码派生的密钥,现在为了清晰起见,反向修改PBKDF1,用MD5,固定盐和1(!)迭代实例化,用原始DES CBC加密密码。这是以前流行的创建加密哈希方法的变体。
在20世纪60年代和70年代以及20世纪80年代,在密码学家将注意力转向设计特定的加密散列函数之前,密码是唯一的加密原语,将密码(密钥置换)转换为加密散列(无键函数)的常用方法是使用数据作为密钥来加密常量;略有不同的变化实现了一个名为crypt的库函数,并用作the password hashing function in early Unix ca 1970,并且仍然被记住(有时甚至使用)但现在经常重新使用DES-crypt或descrypt以区别于之后开发的替代品和替代品。
与设计为解密的密码不同,这是一个哈希,并且设计为不可逆转。我不知道有什么方法可以比蛮力(即分析'中断')更容易地逆转这种方法,但原始的DES,现在通常称为单DES(或1DES),以区别于其直接后继三重DES(或3DES或正式的TDEA),足够弱,如果你真的想要,它现在可以被强行逼迫。例如JTR reports单盐解密大约10M-30M试验/秒,对于简单DES大约相当于0.5G /秒,所以尝试所有DES密钥需要几年一台计算机,几天就有一千台计算机,或者几百万台电脑。关于hashcat的数据很难找到,但看起来大致相当。如果您有任何关于如何选择密码的线索,那么尝试仅使用可能的密码而不是所有可能的密钥可能会更快。
但不要。验证密码哈希的正确方法是让用户提供声明的密码,使用相同的参数重复散列过程(这里很简单,因为它不使用变量salt),看看是否有新的散列结果匹配存储的一个。