为了账号安全,请及时绑定邮箱和手机立即绑定

在配置文件中加密密码?

/ 猿问

在配置文件中加密密码?

慕哥9229398 2019-07-22 15:13:37

在配置文件中加密密码?

我有一个程序,它从配置文件中读取服务器信息,并希望加密该配置中可以被我的程序读取和解密的密码。

要求:

  • 加密要存储在文件中的明文密码
  • 解密从我的程序中读取的文件中的加密密码。

有关于我会怎么做的评论吗?我正在考虑写我自己的算法,但我觉得它会非常不安全。


查看完整描述

3 回答

?
守候你守候我

一个简单的方法是在Java中使用基于密码的加密。这允许您使用密码加密和解密文本。

这基本上意味着初始化javax.crypto.Cipher带算法"AES/CBC/PKCS5Padding"javax.crypto.SecretKeyFactory带着"PBKDF2WithHmacSHA512"算法。

下面是一个代码示例(更新以替换安全性较低的基于MD5的变体):

import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.security.AlgorithmParameters;
import java.security.GeneralSecurityException;
import java.security.NoSuchAlgorithmException;
import java.security.spec.InvalidKeySpecException;
import java.util.Base64;
import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.PBEKeySpec;
import javax.crypto.spec.SecretKeySpec;

public class ProtectedConfigFile {

    public static void main(String[] args) throws Exception {
        String password = System.getProperty("password");
        if (password == null) {
            throw new IllegalArgumentException("Run with -Dpassword=<password>");
        }

        // The salt (probably) can be stored along with the encrypted data
        byte[] salt = new String("12345678").getBytes();

        // Decreasing this speeds down startup time and can be useful during testing, but it also makes it easier for brute force attackers
        int iterationCount = 40000;
        // Other values give me java.security.InvalidKeyException: Illegal key size or default parameters
        int keyLength = 128;
        SecretKeySpec key = createSecretKey(password.toCharArray(),
                salt, iterationCount, keyLength);

        String originalPassword = "secret";
        System.out.println("Original password: " + originalPassword);
        String encryptedPassword = encrypt(originalPassword, key);
        System.out.println("Encrypted password: " + encryptedPassword);
        String decryptedPassword = decrypt(encryptedPassword, key);
        System.out.println("Decrypted password: " + decryptedPassword);
    }

    private static SecretKeySpec createSecretKey(char[] password, byte[] salt, int iterationCount, int keyLength) throws NoSuchAlgorithmException, InvalidKeySpecException {
        SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA512");
        PBEKeySpec keySpec = new PBEKeySpec(password, salt, iterationCount, keyLength);
        SecretKey keyTmp = keyFactory.generateSecret(keySpec);
        return new SecretKeySpec(keyTmp.getEncoded(), "AES");
    }

    private static String encrypt(String property, SecretKeySpec key) throws GeneralSecurityException, UnsupportedEncodingException {
        Cipher pbeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
        pbeCipher.init(Cipher.ENCRYPT_MODE, key);
        AlgorithmParameters parameters = pbeCipher.getParameters();
        IvParameterSpec ivParameterSpec = parameters.getParameterSpec(IvParameterSpec.class);
        byte[] cryptoText = pbeCipher.doFinal(property.getBytes("UTF-8"));
        byte[] iv = ivParameterSpec.getIV();
        return base64Encode(iv) + ":" + base64Encode(cryptoText);
    }

    private static String base64Encode(byte[] bytes) {
        return Base64.getEncoder().encodeToString(bytes);
    }

    private static String decrypt(String string, SecretKeySpec key) throws GeneralSecurityException, IOException {
        String iv = string.split(":")[0];
        String property = string.split(":")[1];
        Cipher pbeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
        pbeCipher.init(Cipher.DECRYPT_MODE, key, new IvParameterSpec(base64Decode(iv)));
        return new String(pbeCipher.doFinal(base64Decode(property)), "UTF-8");
    }

    private static byte[] base64Decode(String property) throws IOException {
        return Base64.getDecoder().decode(property);
    }
}

一个问题仍然存在:您应该将用于加密密码的密码存储在哪里?您可以将它存储在源文件中并混淆它,但是再次找到它并不困难。或者,您可以在启动Java进程时将其作为系统属性(-DpropertyProtectionPassword=...).

如果使用同样由密码保护的密钥存储库,问题仍然存在。基本上,您需要有一个主密码某处,这是相当困难的保护。


查看完整回答
反对 回复 2019-07-22
?
慕丝7291255

是的,绝对不要写你自己的算法。Java有很多加密API。

如果您正在安装的操作系统上有一个密钥存储库,那么您可以使用它来存储您的密码密钥,您将需要这些密钥来加密和解密配置或其他文件中的敏感数据。


查看完整回答
反对 回复 2019-07-22
?
忽然笑

好的,为了解决主密码的问题,最好的方法是不要将密码存储在任何地方,应用程序应该为自己加密密码,这样只有它才能解密密码。因此,如果我使用的是.config文件,我将执行以下操作:mySettings.config:

加密这些密钥=秘密密钥,另一个秘密

秘键=不受保护的密码

另一个秘密

SomeKey=非保护设置-IdontCareAbout

因此,我会读到加密密钥中提到的密钥,在上面应用Brodwall示例,然后用某种标记将它们写回文件中(比如地窖:)为了让应用程序知道不要再这样做,输出将如下所示:

加密这些密钥=秘密密钥,另一个秘密

分泌键=密码:i4jfj304fjhfj 934fuh938

另一个秘密地窖:jd48jofh48h

SomeKey=非保护设置-IdontCareAbout

一定要把原件放在你自己安全的地方.。


查看完整回答
反对 回复 2019-07-22

添加回答

回复

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信