如何从 Java 的任意字节数组中派生 AES 256 位密钥？

Question

给定一个任意 Java 字节数组，例如 1024 字节数组，我想派生一个 AES-256 位密钥。该数组是从 ECHD 通过javax.crypto.KeyAgreement 使用byte[] secret = keyAgreement.generateSecret() 生成的

我目前的解决方案是将输入字节数组视为密码。使用 PBKDF2 密钥派生函数输入数组作为密码和盐，如下所示。

更新：我已将 UTF-8 设置为编码以解决 cmets 和答案中指出的问题。

private byte[] deriveAes256bitKey(byte[] secret)
    throws NoSuchAlgorithmException, InvalidKeySpecException {

    var secretKeyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA256");
    var password = new String(secret, UTF_8).toCharArray();
    var keySpec = new PBEKeySpec(password, secret, 1024, 256);
    return secretKeyFactory.generateSecret(keySpec).getEncoded();
}

有没有更好的方法在 Java 中获取字节数组并将其转换为 AES-256 位密钥？

Answer 1

我会警惕使用new String(input).toCharArray() 创建密码。它不可移植（它使用平台默认编码），如果输入中有无效的字符序列，它的行为是不确定的。

考虑一下：

    System.out.println(new String(new byte[] {(byte) 0xf0, (byte) 0x82, (byte) 0x82, (byte) 0xac}, StandardCharsets.UTF_8));

f08282ac 是欧元符号 (€) 的超长编码。它被解码为替换字符 (�; 0xfffd)，因为它是非法序列。 所有非法的 UTF-8 序列最终将作为替换字符，这不是你想要的。

您可以通过在将字节数组传递给SecretKeyFactory 之前对其进行序列化来避免解码问题（base64 对其进行编码，或者只是new BigInteger(input).toString(Character.MAX_RADIX)）。但是，如果您不使用SecretKeyFactory，则可以避免这种情况。没必要。

PBKDF2（基于密码的密钥派生函数 2）旨在通过计算成本高和添加盐来使针对用户提供的密码的暴力攻击更加困难。

您在这里不需要它（您的输入很大且随机；没有人会针对它进行字典攻击）。您的问题只是输入长度与所需的密钥长度不匹配。

您可以将输入散列到正确的长度：

MessageDigest md = MessageDigest.getInstance("SHA-256");
byte[] keyBytes = md.digest(input);

Answer 2

这里需要一个 KBKDF 或基于密钥的密钥派生函数。 KBKDF 将包含足够熵的秘密值转换为特定大小的不同密钥。当您使用密钥强化（使用盐和工作因子或迭代计数）的密钥中的熵可能太少时，使用 PBKDF。如果输入值已经足够强大而不会被猜测/暴力破解，则不需要使用工作因子/迭代计数。

如果您只想要得到的 128 位值，通常 SHA-256 就足够了。但是，使用密钥派生函数可能仍会带来好处。首先，它是为函数显式定义的函数，因此更容易证明它是安全的。此外，通常可以向密钥派生函数添加其他数据，以便您可以例如派生更多密钥或一个密钥和一个 IV。或者你可以扩展可配置的输出大小，为不同的键或键/IV输出足够的数据。

也就是说，如果您使用 SHA-256（或 SHA-512，以防您需要更多位用于密钥/IV），大多数密码学家不会皱眉头。输出仍然应该使用输入中所有可能的位进行随机化，并且不可能反转函数。