我正在尝试使用由Android KeyStore Provider生成的私有代码在Android中实现ECDH.

public byte[] ecdh(PublicKey otherPubKey) throws Exception {

try {

ECPublicKey ecPubKey = (ECPublicKey) otherPubKey;

KeyAgreement keyAgreement = KeyAgreement.getInstance("ECDH");

PrivateKey pk = (PrivateKey) LoadPrivateKey("Backend");

keyAgreement.init(pk);

keyAgreement.doPhase(ecPubKey, true);

return (keyAgreement.generateSecret());

}

catch (Exception e)

{

Log.e("failure", e.toString());

return null;

}

}

但是,此异常在keyAgreement.init(pk)中捕获：

E/failure: java.security.InvalidKeyException: cannot identify EC private key: java.security.InvalidKeyException: no encoding for EC private key

我使用以下命令成功生成了“后端”公钥/私钥对：

public void GenerateNewKeyPair(String alias)

throws Exception {

if (!keyStore.containsAlias(alias)) {

// use the Android keystore

KeyPairGenerator keyGen = KeyPairGenerator.getInstance(KeyProperties.KEY_ALGORITHM_EC, ANDROID_KEYSTORE);

keyGen.initialize(

new KeyGenParameterSpec.Builder(

alias,

KeyProperties.PURPOSE_SIGN | KeyProperties.PURPOSE_VERIFY | KeyProperties.PURPOSE_ENCRYPT | KeyProperties.PURPOSE_DECRYPT)

.setAlgorithmParameterSpec(new ECGenParameterSpec("secp256r1"))

.setDigests(KeyProperties.DIGEST_SHA256,

KeyProperties.DIGEST_SHA384,

KeyProperties.DIGEST_SHA512)

.setRandomizedEncryptionRequired(true)

.build());

// generates the keypair

KeyPair keyPair = keyGen.generateKeyPair();

}

}

然后使用以下命令加载私钥：

public PrivateKey LoadPrivateKey(String alias) throws Exception {

PrivateKey key = (PrivateKey) keyStore.getKey(alias, null);

return key;

}

任何人都知道发生了什么事,可以帮助我了解如何解决它？谢谢！

解决方法:

据我通过研究和反复试验所知,目前尚不支持此功能.

我认为最好的办法是使用存储在AndroidKeyStore中的EC密钥对在AndroidKeyStore外部生成的EC密钥对的公钥进行签名.然后,您可以使用签名密钥证书将此签名的公共密钥发送给另一方,生成共享密钥(在AndroidKeyStore外部),然后在生成的密钥上存储使用KDF派生的SecretKey.我建议一次使用此非AndroidKeyStore生成的密钥对(因此仅出于导出机密的目的),并在认为必要时重复此过程以重新密钥.

编辑：当我说“存储SecretKey”时,我的意思是在AndroidKeyStore中.在这种情况下,该密钥最初将位于所谓的“正常世界”中,但是您现在可以做到最好.

标签：keystore,java,android

来源： https://codeday.me/bug/20191111/2017212.html