Android 和服务器之间的密钥不同

发布于 2024-09-12 23:13:25 字数 763 浏览 2 评论 0原文

我正在开发一个一次性密码应用程序，使用 hotp 算法（RFC 4226）。我有一个用于生成 otp 的 Android 应用程序（通过模拟器），以及一个用于验证的服务器端应用程序。就其本身而言，两者都工作良好并通过了测试。

但是，我在设备上生成的密钥与我在服务器上生成的密钥不同，即使输入是硬编码的并且它们之间相同。这导致设备和服务器上生成不同的一次性密码，从而破坏了我生成有效一次性密码的能力。我试图找出为什么会发生这种情况，以及我是否可以做些什么。

服务器和设备模拟器之间用于构造 SecretKey 并从密钥生成一次性密码的代码是相同的。我检查了设备和服务器上关键规范中的字节，它们是相同的。然而，当我查看来自 SecretKey.getEncoded() 的字节时，SecretKeyFactories（均来自 DESedeKeySpecs）生成的密钥存在细微的相差一的差异。如果我使用 DES 而不是三重 DES，我会看到类似的差异。

有趣的是，在我的 Android 项目中，KeySpec 和生成的 SecretKey 中的字节是一致的（虽然被截断），但在服务器上，KeySpec 和生成的 SecretKey 之间的字节偶尔会存在相差一的差异。这是正常的吗？我读过一些有关使用 DES 和三重 DES 时奇偶校验位更改的内容，所以我不确定这是否是一个问题。

我也知道 Android 使用 Bouncy Castle，但我的服务器使用 SunJCE。我的理解是，这不应该出现问题，我想知道在使用两个不同的提供程序时这是否是已知的情况。我获得 Bouncy Castle 服务器端的能力非常有限。

请给点建议和启发？

原文

分享到QQ

分享到微博