JCE(Java密码扩展)为应用程序采用Java加密和数字签名提供了一种统一和一致的方式。加密类(在java.security和javax.crypto包中)为实施加密和数字签名更实现了一种相当方便的操作方式。这些类所具有的方法还支持保存和获取密钥。
本文采用一组测试类演示一种共享密钥信息的方法。重点在于如何在非Java环境下共享密钥信息。即便在Java环境内,只要出于加密目的而创建了密钥你多半就希望继续使用同样的密钥,从而让加密信息的使用者可以对这些信息解密。
JDK 1.4针对常用加密算法而包含了必要的加密供应者。在1.4版之前安装JDK的细节请参看“Java加密扩展基础。”
格式选择
为了同其他平台或者编程环境共享密钥信息,你首先必须决定交换密钥的标准。Java实现了若干种交换标准。ASN.1编码就是处理密钥的Java类所采用的默认标准规范。Java Key接口(java.security.Key)规定了获取密钥版本的方法(getEncoded())。其格式可以文件的形式写入磁盘,以后还可以再被Java读回。密钥数据的另一种格式就是文本。具体取决于所采用的算法,而这类格式已经被定制,因为各种算法的需求不同。在采用RSA的情况下,密钥可以保存密钥系数和指数的方式得以存储。
就一般项目而言,这种保存密钥的方法是最为适合的,因为密钥以普通文本表示,RSA加密总能通过合适的编码创建密钥。因为这种文本表示法不需要读取ASN.1之类的特定格式,所以这也是一种轻度、简便的操作方式。而且任何能生成RSA风格密钥的编程语言都能读取系数和指数来创建必要的密钥。
创建和保存密钥
用Java生成密钥并不复杂。首先用你所希望的算法和参数初始化KeyPairGenerator,这样就可以产生一个512位的密钥。考虑到最佳的安全和速度因素,建议你产生2048位的密钥,不过,对国际性应用程序而言这样作可能会在部署中引发一些政治性的出口问题。通过KeyPairGenerator即可获得KeyPair对象,然后从这里出发又可以获得PrivateKey和 PublicKey对象并把它们转换各自的RSA版本。
为了保存密钥,我们可以采用公钥和私钥对象上的方法获取密钥的系数和指数。系数和指数以BigIntegers的形式返回,结果可能是16进制格式的输出字符串。采用密钥的16进制版本即可采用文本文件的形式保存密钥供今后采用。在程序清单A中,GenerateRSAKeys类负责执行以上这些步骤同时把密钥写入文件。以上演示中该类同时写入了ASN.1编码(一种二进制文件)和文本(或者16进制版本)。
读取密钥
既然密钥已经保存在磁盘上,那么我们就必须编写一些代码从磁盘文件中读取密钥数据并把这些数据转换为Key对象。 Key对象是实现加密、解密、数字签名和签名检验函数所必需的。 程序清单B显示一个简单类,它获得一个文件名参数进行初始化操作,这个文件包含了必要的16进制系数和指数信息。该类并不关心密钥是公有还是私有的。因为它只为其他用来创建正确PublicKey或 PrivateKey对象的类提供系数和指数的BigInteger 版本。
密钥再造
在采用读取密钥类的情况下,程序现在即可初始化正确的密钥,然后用密钥执行加密或数字签名操作。以上示例采用了两种类,第1种对文件进行数字签名操作,第2种类获得签名和对应的密钥检验给定文件的签名。
为了再造密钥,我们必须采用系数和指数信息创建一个符合规范的对象。对私钥来说就是采用RSAPrivateKeySpec,而对公钥来说就是RSAPublicKeySpec。密钥规范对象被提交给构造Key对象的 KeyFactory。你可以参看 程序清单C和 程序清单D这个示范性签名和检验程序。为了创建签名还的调用SignFile 程序,同时传递给它由创建程序所产生的私钥和签名文件。比方说,在命令行上键入 java SignFile private_raw.txt data.txt即可创建签名文件 rawsignature.sig 和hexsignature.txt。为了检查签名的工作情况和公钥是否正确读取,可以用带签名文件的VerifySignature类(java VerifySignature public_raw.txt data.txt rawsignature.sig),其签名文件则由SignFile类创建。
文中提到的代码可以从以下地址下载:
GenerateRSAKeys.java
RawRSAKey.java
SignFile.java
VerifySignature.java
保存密钥的其他方式
以上谈到的Java类演示了把RSA密钥写入磁盘然后读取磁盘数据再造密钥的方法。你可以通过Java安全类采用其他替代性的密钥保存方法。比如你可以采用KeyStore以安全的密码保护文件方式保存密钥。当然,采用KeyStore并不能同其他应用程序共享密钥除非它们也是用Java编写的。另外还有一种共享密钥数据的可能方式,这就是采用X509证书之类的标准编码机制。有了Java安全和加密包所提供的类和接口,所有这些方法都令密钥操作目的的实现成为可能。
文章连接情况请点ZDNET