javax.crypto.Cipher 为 RSA 使用了哪个填充

Question

我需要通过 RSA 解密消息以便通过不安全的通道发送它，但我害怕 Padding Oracle Attack。因此，我已经问了以下问题：

1. How to verify the integrity of RSA encrypted messages?
2. How to ensure message integrity for RSA ciphers by using javax.crypto.Cipher

就像第一个问题中建议的那样，

但是，由于您使用的是高级加密库，因此您不必担心这一点。该库的作者应该照顾它。

我不应该考虑。据我所知，PKCS#1 v1.5 的 RSA 实现容易受到Padding Oracale Attack 的影响，而OAEP 则不是（假设它实现正确）

因此我想知道 Java 7 中 javax.crypt.Cipher 使用了哪个填充实现

Answer 1

当您指定RSA 时，bouncy-castle 的默认值为RSA/NONE/NOPADDING

这也与RSA/ECB/NOPADDING 的结果相同。

Answer 2

这不是the first link to the cryptography site 中给出的好建议。您永远不应该依赖加密库加密算法的默认值。这有很多原因：

1. 不同的实现，不同的默认值（对密码学提供者没有默认值的要求，尽管大多数会复制 Oracle/Sun 的默认值）；
2. 现在安全的东西明天可能不会被认为是安全的，因为为了向后兼容，您永远不能更改默认值；
3. 阅读您的软件的任何人都不清楚默认值是什么（您可以记录它，但在这种情况下，您不妨写出来）。

由于历史原因，Oracle 提供的SunJCEProvider 默认为 PKCS#1 填充 ("PKCS1Padding")（参见上面的原因 #2）。这没有很好的记录。

当时设置了默认值，您基本上只有不安全的教科书 RSA ("NoPadding") 和 PKCS#1 v1.5 版本（"PKCS1Padding" 或 RSAES-PKCS1-v1_5 in the PKCS#1 v2.1 standard）。当时RSAES-PKCS1-v1_5绝对是更安全的选择。现在将默认值更改为 OAEP 会破坏所有使用默认值的 RSA 实现。

otus 的建议（在此答案的第一个链接中）更适合库中的协议实现，而不是加密算法。 最终你应该能够捍卫所做选择的安全性，无论你选择什么。

Answer 3

当你实例化一个 Cipher 而不完全限定它时，这取决于选择的或默认的提供者实际使用的填充：

Cipher.getInstance("RSA")

这样做是一种不好的做法，因为如果您切换 Java 实现，可能会有不同的默认值，并且突然之间，您将不再与旧的密文兼容。 始终完全限定密码。

正如我之前所说，默认值可能（有很多提供者，不能确定）是 PKCS#1 v1.5 填充。如果您需要另一个，则必须指定它。如果你想使用 OAEP，这里是来自here 的完全限定密码字符串：

Cipher.getInstance("RSA/ECB/OAEPWithSHA-256AndMGF1Padding");