android中的密码加密解密

Question

String text = name1.getText().toString();
    // Sending side
    byte[] data = null;
    try {
        data = text.getBytes("UTF-8");
    } catch (UnsupportedEncodingException e1) {
    e1.printStackTrace();
    }
    String base64 = Base64.encodeToString(data, Base64.DEFAULT);

能够加密密码并愿意解密相同的密码，但我有一些想法，我不确定这是我第一次尝试加密密码。以这种方式加密密码是否安全，因为我尝试加密密码：zxc，结果只是一个四个字母的密码（其结果是：enhj）所以我想知道这是否是加密密码的安全方法.有关如何重新制作代码以使其更安全且不易解码的任何想法以及如何解密加密密码的想法？

更新：这是我在this site here 找到的加密和解密示例，但我无法让它运行。

加密

String password  = "password";
int iterationCount = 1000;
int keyLength = 256;
int saltLength = keyLength / 8; // same size as key output

SecureRandom random = new SecureRandom();
byte[] salt = new byte[saltLength];
randomb.nextBytes(salt);
KeySpec keySpec = new PBEKeySpec(password.toCharArray(), salt,
                    iterationCount, keyLength);
SecretKeyFactory keyFactory = SecretKeyFactory
                    .getInstance("PBKDF2WithHmacSHA1");
byte[] keyBytes = keyFactory.generateSecret(keySpec).getEncoded();
SecretKey key = new SecretKeySpec(keyBytes, "AES");

Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
byte[] iv = new byte[cipher.getBlockSize());
random.nextBytes(iv);
IvParameterSpec ivParams = new IvParameterSpec(iv);
cipher.init(Cipher.ENCRYPT_MODE, key, ivParams);
byte[] ciphertext = cipher.doFinal(plaintext.getBytes("UTF-8"));

解密

String[] fields = ciphertext.split("]");
byte[] salt = fromBase64(fields[0]);
byte[] iv = fromBase64(fields[1]);
byte[] cipherBytes = fromBase64(fields[2]);
// as above
SecretKey key = deriveKeyPbkdf2(salt, password);

Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
IvParameterSpec ivParams = new IvParameterSpec(iv);
cipher.init(Cipher.DECRYPT_MODE, key, ivParams);
byte[] plaintext = cipher.doFinal(cipherBytes);
String plainrStr = new String(plaintext , "UTF-8");

Answer 1

你已经标记了这个密码学、密码和加密，所以我会这样回答。

首先，Base64 实际上并不是加密，它只是编码 - 本质上是从 8 位字节变为 6 位字节，您的测试非常完美 - 3*8 位字符 = 24 位。 24 位/6 位 = 4 个 Base64 字符。我还验证了 enhj 确实是 my own C implementation of Base64 上 zxc 的 Base64 编码。要进一步证明这一点，请注意您没有提供任何加密密钥！

其次，对于用户身份验证（我假设您正在这样做），不要加密密码 - 这是一个主要的 blunder Adobe just made。对于用户身份验证，您无需再次查看用户密码 - 您只需验证他们输入的内容是否与之前相同。因此，当他们第一次输入密码时，您可以对其进行加盐和哈希处理。下次，您检索第一次使用的盐，并使用相同的盐（和迭代次数/工作因子）对新输入的密码进行散列 - 如果结果与您记录的结果相同，请让它们进入，因为输入相同的密码会得到相同的结果。

How to securely hash passwords? 的三个规范答案是 PBKDF2、Bcrypt 和 Scrypt。出现了关于 Android 密码哈希的快速 Google 搜索：

• How can I make sure password hashing is secure on computers while not being prohibitively slow on mobile devices? 和 safe to use jBCrypt and recommend it to my organization? 指的是 mindrot jBCrypt Java library 和/或 Spring Security variant of jBCrypt

• PBKDF2 with SHA256 on android 指的是 PBKDF2-HMAC-SHA-256 的 SpongyCastle 1.47+ 实现以及对 PBKDF2-HMAC-SHA-1 的引用。

   PKCS5S2ParametersGenerator generator = new PKCS5S2ParametersGenerator(new SHA256Digest());
   generator.init(PBEParametersGenerator.PKCS5PasswordToUTF8Bytes(password), salt, iterations);
   KeyParameter key = (KeyParameter)generator.generateDerivedMacParameters(keySizeInBits);
  

• Android-developers blogspot article Using Cryptography to Store Credentials Safely 还引用了 PBKDF2-HMAC-SHA-1。

  public static SecretKey generateKey(char[] passphraseOrPin, byte[] salt) throws NoSuchAlgorithmException, InvalidKeySpecException {
  // Number of PBKDF2 hardening rounds to use. Larger values increase
  // computation time. You should select a value that causes computation
  // to take >100ms.
  final int iterations = 8000; 
  
  // Generate a 160-bit key
  final int outputKeyLength = 160;
  
  SecretKeyFactory secretKeyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
  KeySpec keySpec = new PBEKeySpec(passphraseOrPin, salt, iterations, outputKeyLength);
  SecretKey secretKey = secretKeyFactory.generateSecret(keySpec);
  return secretKey;
  

  }

在所有情况下，选择尽可能高的迭代次数/工作因子（在您可以遵守许可的情况下为您选择的算法使用尽可能快的库）。您的 salt 应该是 8 到 16 字节长度范围内的加密随机字节序列。

特别是对于 PBKDF2，永远不要使用比本机哈希大小更多的 outputBytes，否则会给攻击者一个比较优势 - SHA-1 的本机大小是 20 字节，SHA-256 是 32 字节，SHA-512 是 64 字节.

如果您确实需要加密而不是身份验证，那么上面的“使用密码术安全地存储凭据”链接也涵盖了这一点，尽管更好的答案是存储盐和迭代次数/工作因素，并简单地从每次都输入密码-如果数据解密，那就太好了。如果不是，那么，密码错误。

Answer 2

你没有加密任何东西。您正在将字节转换为 base64 编码。您需要使用加密算法。见http://examples.javacodegeeks.com/core-java/security/simple-symmetric-key-encrypt-decrypt/