java_fortify Scan:
问题:
1.Weak Encryption
2.Weak Encryption: Insecure Mode of Operation
问题解释:
问题1.程序使用了弱加密算法,无法保证敏感数据的保密性。
问题2.使用某加密方式的某不安全加密模式,例如:AES的ECB模式不安全
注:本人使用了DES加密导致的问题1,使用了AES的ECB模式导致出现问题2
解决方案:
使用某安全加密方式的某种安全加密模式,例如:AES的GCM模式
使用AES的GCM模式工具类(JDK1.8):
package com.testmon.util;
import javax.crypto.*;
import javax.crypto.spec.GCMParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import java.security.*;
import java.util.Base64;
/**
*
* AES加密工具类(GCM模式)
*/
public class AesUtils {
private static final String ALGORITHM = "AES";
private static final String AES_GCM_PADDING = "AES/GCM/NoPadding";
/**
* Base64 加密
*
* @param plainBytes
* @return
*/
public static byte[] encodeByBase64(byte[] plainBytes) {
if (plainBytes == null) {
return null;
}
return Base64.getEncoder().encode(plainBytes);
}
/**
* Base64 解密
*
* @param cipherText
* @return
*/
public static byte[] decodeByBase64(byte[] cipherText) {
if (cipherText == null) {
return null;
}
return Base64.getDecoder().decode(cipherText);
}
/**
* AES加密(GCM工作模式)
*
* @param key 密钥,key长度必须大于等于 3*8 = 24,并且是8的倍数
* @param data 明文
* @param base64Flg 加密后的数据是否用Base64编码
* @return 密文
* @throws Exception
*/
public static byte[] encodeByGCM(Key key, byte[] data, boolean base64Flg) throws NoSuchPaddingException, NoSuchAlgorithmException, IllegalBlockSizeException, BadPaddingException, InvalidKeyException {
Cipher cipher = Cipher.getInstance(AES_GCM_PADDING);
cipher.init(Cipher.ENCRYPT_MODE, key);
byte[] iv = cipher.getIV();
assert iv.length == 12;
byte[] encryptData = cipher.doFinal(data);
assert encryptData.length == data.length + 16;
byte[] message = new byte[12 + data.length + 16];
System.arraycopy(iv, 0, message, 0, 12);
System.arraycopy(encryptData, 0, message, 12, encryptData.length);
if (base64Flg) {
message = encodeByBase64(message);
}
return message;
}
/**
* AES解密(GCM工作模式)
*
* @param key 密钥,key长度必须大于等于 3*8 = 24,并且是8的倍数
* @param data 密文
* @param base64Flg 解密前的数据是否需要使用Base64解码
* @return 明文
* @throws Exception
*/
public static byte[] decodeByGCM(Key key, byte[] data, boolean base64Flg) throws NoSuchPaddingException, NoSuchAlgorithmException, InvalidAlgorithmParameterException, InvalidKeyException, IllegalBlockSizeException, BadPaddingException {
if (base64Flg) {
data = decodeByBase64(data);
}
if (data.length < 12 + 16)
throw new IllegalArgumentException();
GCMParameterSpec params = new GCMParameterSpec(128, data, 0, 12);
Cipher cipher = Cipher.getInstance(AES_GCM_PADDING);
cipher.init(Cipher.DECRYPT_MODE, key, params);
byte[] decryptData = cipher.doFinal(data, 12, data.length - 12);
return decryptData;
}
/**
* 生成加密秘钥
*
* @return
* @throws NoSuchAlgorithmException
*/
private static SecretKeySpec getSecretKey(byte[] key) throws NoSuchAlgorithmException {
KeyGenerator kg = KeyGenerator.getInstance(ALGORITHM);
// 初始化密钥生成器,AES要求密钥长度为128位、192位、256位
kg.init(256, new SecureRandom(key));
SecretKey secretKey = kg.generateKey();
return new SecretKeySpec(secretKey.getEncoded(), ALGORITHM);// 转换为AES专用密钥
}
}
注:Base64是一种编码方式,加密后再使用Base64编码是为了防止有乱码
参考:https://blog.csdn/catoop/article/details/96431206?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_baidulandingword~default-4-96431206-blog-121685228.pc_relevant_blogantidownloadv1&spm=1001.2101.3001.4242.3&utm_relevant_index=7
更多推荐
java fortify弱密码漏洞使用AES的GCM解决
发布评论