我正在尝试解密已使用AES-128对称加密和随后的RSA-1024非对称加密对生成的对称密钥进行加密的消息。 我收到加密的AES密钥和加密的消息，从pfx文件中提取私钥，然后继续对对称密钥进行解密。 之后，我尝试使用解密的AES密钥解密加密的消息。

以下是我的代码：

// Get the private key

PrivateKey privateKey = (PrivateKey) keyStore.getKey(selectedAlias,"password".toCharArray());

System.out.println("Key information" + privateKey.getAlgorithm() +"" + privateKey.getFormat());

// Load aesSessionKey and encryptedMessage

byte[] aesSessionKey = ...

byte[] encryptedMessage = ...

// RSA Decryption of Encrypted Symmetric AES key - 128 bits

Cipher rsaCipher = Cipher.getInstance("RSA","BC");

rsaCipher.init(Cipher.UNWRAP_MODE, privateKey);

Key decryptedKey = rsaCipher.unwrap(aesSessionKey,"AES", Cipher.SECRET_KEY);

System.out.println("Decrypted Key Length:" + decryptedKey.getEncoded().length);

SecretKeySpec decrypskeySpec = new SecretKeySpec(decryptedKey.getEncoded(),"AES");

Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5PADDING","BC");

cipher.init(Cipher.DECRYPT_MODE, decryptedKey, new IvParameterSpec(new byte[16]));

byte[] message = cipher.doFinal(encryptedMessage);

System.out.println(new String(message,"UTF-8"));

问题在于解密的AES密钥的大小是128字节，而不是我期望的16字节。 我得到以下异常：

Key information RSA PKCS#8

Decrypted Key Length: 128

java.security.InvalidKeyException: Key length not 128/192/256 bits.

at org.bouncycastle.jce.provider.JCEBlockCipher.engineInit(Unknown Source)

at javax.crypto.Cipher.init(DashoA13*..)

at javax.crypto.Cipher.init(DashoA13*..)

at com.simarks.services.PKCS12.run(PKCS12.java:74)

at com.simarks.services.PKCS12.main(PKCS12.java:34)

我是Java密码学的新手。 我已经检查了许多其他问题，并尝试了几种不同的方法(例如使用DECRYPT_MODE而不是UNWRAP_MODE)，但是却遇到了相同的错误。 任何帮助都感激不尽。

编辑：

加密消息的客户端代码是这样的：

PBYTE          pInputData = NULL;

DWORD          dwInputSize = 0;

PBYTE          pCertData = NULL;

DWORD          dwCertSize = 0;

PCCERT_CONTEXT pCertContext = NULL;

HCRYPTPROV     hCryptProv = NULL;

HCRYPTKEY      hPublicKey = NULL;

HCRYPTKEY      hSessionKey = NULL;

BYTE           InitializationVector[ 32 ] = { 0 };

DWORD          PKCS5Padding = PKCS5_PADDING;

DWORD          CBCMode = CRYPT_MODE_CBC;

PSIMPLEBLOB    pKeyBlob = NULL;

DWORD          dwBlobSize = 0;

DWORD          dwKeySize = 0;

PBYTE          pEncryptedData = NULL;

DWORD          dwEncryptedDataSize = 0;

HRESULT        hr = S_FALSE;

if( FAILED( hr = ReadBinaryFile( InputFile, &pInputData, &dwInputSize ) ) ) goto EncryptExit;

if( FAILED( hr = ReadBinaryFile( CertFile, &pCertData, &dwCertSize ) ) ) goto EncryptExit;

if( ( pCertContext = CertCreateCertificateContext( PKCS_7_ASN_ENCODING | X509_ASN_ENCODING, pCertData, dwCertSize ) ) == NULL ) goto EncryptExit;

if( !CryptAcquireContext( &hCryptProv, NULL, GetMsAesProviderName(), PROV_RSA_AES, 0 ) ) goto EncryptExit;

if( !CryptImportPublicKeyInfo( hCryptProv, PKCS_7_ASN_ENCODING | X509_ASN_ENCODING, &pCertContext->pCertInfo->SubjectPublicKeyInfo, &hPublicKey ) ) goto EncryptExit;

if( !CryptGenKey( hCryptProv, AlgId, CRYPT_EXPORTABLE, &hSessionKey ) ) goto EncryptExit;

if( !CryptSetKeyParam( hSessionKey, KP_IV, InitializationVector, 0 ) ) goto EncryptExit;

if( !CryptSetKeyParam( hSessionKey, KP_PADDING, (PBYTE)&PKCS5Padding, 0 ) ) goto EncryptExit;

if( !CryptSetKeyParam( hSessionKey, KP_MODE, (PBYTE)&CBCMode, 0 ) ) goto EncryptExit;

if( !CryptExportKey( hSessionKey, hPublicKey, SIMPLEBLOB, 0, NULL, &dwBlobSize ) ) goto EncryptExit;

if( ( pKeyBlob = (PSIMPLEBLOB)malloc( dwBlobSize ) ) == NULL ) { hr = E_OUTOFMEMORY; goto EncryptExit; }

if( !CryptExportKey( hSessionKey, hPublicKey, SIMPLEBLOB, 0, (PBYTE)pKeyBlob, &dwBlobSize ) ) goto EncryptExit;

dwKeySize = dwBlobSize - sizeof( BLOBHEADER ) - sizeof( ALG_ID );

dwEncryptedDataSize = dwInputSize;

if( !CryptEncrypt( hSessionKey, NULL, TRUE, 0, NULL, &dwEncryptedDataSize, 0 ) ) goto EncryptExit;

if( ( pEncryptedData = (PBYTE)malloc( dwEncryptedDataSize ) ) == NULL ) { hr = E_OUTOFMEMORY; goto EncryptExit; }

CopyMemory( pEncryptedData, pInputData, dwInputSize );

if( !CryptEncrypt( hSessionKey, NULL, TRUE, 0, pEncryptedData, &dwInputSize, dwEncryptedDataSize ) ) goto EncryptExit;

if( FAILED( hr = WriteBinaryFile( OutputFile, pEncryptedData, dwInputSize ) ) ) goto EncryptExit;

hr = WriteBinaryFile( KeyFile, pKeyBlob->Key, dwKeySize );

EncryptExit:

您可以尝试使用Cipher.getInstance("RSAECBPKCS1Padding","BC")而不是"RSA"的默认值进行解密吗？ 对于这种功能，您还可以尝试使用默认的Oracle提供程序(因此也尝试删除"BC"参数。还要打印出返回键的类型。

使用安全填充(最好是OAEP)而不是PKCS＃1v1.5对于RSA的安全性至关重要。 您确实应该修复填充。

与许多其他提供程序不同，当您指定"RSA"算法时，BouncyCastle提供程序默认情况下不使用填充。根据常见问题解答，BC提供程序会将"RSA"映射到"RSA/NONE/NoPadding"。

因此，您的解密数据仍然附加了填充，因此长度为128个字节。您需要确定密钥加密中使用了哪种填充，并确保在创建Cipher实例时明确指定此填充。例如：

Cipher rsaCipher = Cipher.getInstance("RSA/ECB/PKCS1Padding","BC")

正如猫头鹰在评论中提到的那样，如果您愿意的话，您也可以考虑使用标准的Oracle提供程序作为代码-看来BouncyCastle并不是必需的。

我尝试使用Cipher rsaCipher = Cipher.getInstance("RSAECBPKCS1Padding","BC")，但在rsaCipher.doFinal上收到以下异常：Key information RSA PKCS#8 javax.crypto.BadPaddingException: unknown block type at org.bouncycastle.jce.provider.JCERSACipher.engineDoFinal(Unknown Source) at javax.crypto.Cipher.doFinal(Cipher.java:1978) at com.simarks.services.PKCS12.run(PKCS12.java:73) at com.simarks.services.PKCS12.main(PKCS12.java:33)

另外，我尝试使用标准的Oracle提供程序，但遇到以下异常：Key information RSA PKCS#8 javax.crypto.BadPaddingException: Data must start with zero at sun.security.rsa.RSAPadding.unpadV15(RSAPadding.java:325) at sun.security.rsa.RSAPadding.unpad(RSAPadding.java:272) at com.sun.crypto.provider.RSACipher.doFinal(RSACipher.java:357) at com.sun.crypto.provider.RSACipher.engineDoFinal(RSACipher.java:383) at javax.crypto.Cipher.doFinal(Cipher.java:1978) at com.simarks.services.PKCS12.run(PKCS12.java:71) at com.simarks.services.PKCS12.main(PKCS12.java:31)

@spaniard听起来像在原始加密中没有使用PKCS＃1填充。您是否具有加密AES密钥的源代码？如果没有，关于密钥如何加密的最佳描述是什么？

刚刚在问题中添加了客户端代码。我希望这有助于解决问题

AES采用128位密钥，该密钥长16个字节，因为一个字节可容纳8位。

1024位RSA加密1024位(或128个字节)的数据。您应该始终对RSA使用填充，因为这可以提高安全性并允许您加密任意数量的数据。

另请注意，1024位RSA在抵抗暴力攻击方面相当弱。 2048位被认为是最小的。

另外，带有静态IV的CBC模式只是自找麻烦。

这个答案只是关于AES密钥和RSA加密的陈述的集合。这如何解决原始问题？

我认为第一段很清楚地说明了问题所在。第二段说明了如何解决此问题。最后两段指出了代码中的其他加密问题。

不知道您要说什么@ntoskrnl。我知道我要解密的AES密钥必须是128位长(16字节)，但是我却得到了128位长。我同意RSA-1024的弱点。

您将获得128个字节，因为那是1024位RSA加密的数据量。如果要加密不同数量的数据，则必须使用填充。

经过一些研究，我通过反转aesSessionKey的字节解决了这个问题：

org.apache.commons.lang.ArrayUtils.reverse(encryptedSessionKey);

显然，CryptoAPI结构通常以小端顺序表示数据，但是Java(和.NET)使用大端顺序。这是我找到解决方案的一些链接：

RSA加密/解密：.NET，Java 2和CryptoAPI

RE：MS加密API和Java安全API(KeyValue)

EncryptTo / DecryptTo：.NET中使用CryptoAPI证书存储区的加密