在配置文件中加密密码?
在配置文件中加密密码?
提问于 2009-07-15 16:47:21
我有一个程序,它从配置文件中读取服务器信息,并希望加密该配置中的密码,该密码可以被我的程序读取并解密。
要求:
- 加密要存储在文件中的明文密码
- 解密从我的程序中读取的加密密码
我该怎么做,有什么建议吗?我正在考虑写我自己的算法,但我觉得它非常不安全。
回答 10
Stack Overflow用户
回答已采纳
发布于 2009-07-15 20:28:51
一种简单的方法是在Java中使用基于密码的加密。这允许您使用密码对文本进行加密和解密。
这基本上意味着使用算法"AES/CBC/PKCS5Padding"初始化javax.crypto.Cipher,并使用"PBKDF2WithHmacSHA512"算法从javax.crypto.SecretKeyFactory获取密钥。
下面是一个代码示例(更新以替换安全性较低的基于MD5的变体):
import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.security.AlgorithmParameters;
import java.security.GeneralSecurityException;
import java.security.NoSuchAlgorithmException;
import java.security.spec.InvalidKeySpecException;
import java.util.Base64;
import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.PBEKeySpec;
import javax.crypto.spec.SecretKeySpec;
public class ProtectedConfigFile {
public static void main(String[] args) throws Exception {
String password = System.getProperty("password");
if (password == null) {
throw new IllegalArgumentException("Run with -Dpassword=<password>");
}
// The salt (probably) can be stored along with the encrypted data
byte[] salt = new String("12345678").getBytes();
// Decreasing this speeds down startup time and can be useful during testing, but it also makes it easier for brute force attackers
int iterationCount = 40000;
// Other values give me java.security.InvalidKeyException: Illegal key size or default parameters
int keyLength = 128;
SecretKeySpec key = createSecretKey(password.toCharArray(),
salt, iterationCount, keyLength);
String originalPassword = "secret";
System.out.println("Original password: " + originalPassword);
String encryptedPassword = encrypt(originalPassword, key);
System.out.println("Encrypted password: " + encryptedPassword);
String decryptedPassword = decrypt(encryptedPassword, key);
System.out.println("Decrypted password: " + decryptedPassword);
}
private static SecretKeySpec createSecretKey(char[] password, byte[] salt, int iterationCount, int keyLength) throws NoSuchAlgorithmException, InvalidKeySpecException {
SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA512");
PBEKeySpec keySpec = new PBEKeySpec(password, salt, iterationCount, keyLength);
SecretKey keyTmp = keyFactory.generateSecret(keySpec);
return new SecretKeySpec(keyTmp.getEncoded(), "AES");
}
private static String encrypt(String property, SecretKeySpec key) throws GeneralSecurityException, UnsupportedEncodingException {
Cipher pbeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
pbeCipher.init(Cipher.ENCRYPT_MODE, key);
AlgorithmParameters parameters = pbeCipher.getParameters();
IvParameterSpec ivParameterSpec = parameters.getParameterSpec(IvParameterSpec.class);
byte[] cryptoText = pbeCipher.doFinal(property.getBytes("UTF-8"));
byte[] iv = ivParameterSpec.getIV();
return base64Encode(iv) + ":" + base64Encode(cryptoText);
}
private static String base64Encode(byte[] bytes) {
return Base64.getEncoder().encodeToString(bytes);
}
private static String decrypt(String string, SecretKeySpec key) throws GeneralSecurityException, IOException {
String iv = string.split(":")[0];
String property = string.split(":")[1];
Cipher pbeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
pbeCipher.init(Cipher.DECRYPT_MODE, key, new IvParameterSpec(base64Decode(iv)));
return new String(pbeCipher.doFinal(base64Decode(property)), "UTF-8");
}
private static byte[] base64Decode(String property) throws IOException {
return Base64.getDecoder().decode(property);
}
}一个问题仍然存在:您应该将用于加密密码的密码存储在哪里?您可以将其存储在源文件中并对其进行模糊处理,但要再次找到它并不太难。或者,您可以在启动Java process (-DpropertyProtectionPassword=...)时将其作为系统属性。
如果您使用同样受密码保护的KeyStore,也会出现同样的问题。基本上,你需要在某个地方有一个主密码,这是很难保护的。
Stack Overflow用户
发布于 2009-07-15 16:51:03
请查看jasypt,这是一个以最小的工作量提供基本加密功能的库。
Stack Overflow用户
发布于 2009-07-15 16:50:45
是的,绝对不要写你自己的算法。Java有很多密码学API。
如果您正在安装的操作系统有一个密钥库,那么您可以使用它来存储您的加密密钥,您将需要对配置或其他文件中的敏感数据进行加密和解密。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/1132567
复制相关文章
相似问题