Cipher.do最终输出大小

Question

我正在使用 javax.crypto 在 java 中进行 AES CBC 解密。我正在使用以下 Cipher 类方法：

• 用于初始化的 public final void init (int opmode, Key key, AlgorithmParameters params) 方法，
• final int update(byte[] input, int inputOffset, int inputLen, byte[] output) 方法对数据进行解密，
• 最后我调用了 final int doFinal(byte[] output, int outputOffset) 方法完成解密。

我的查询是这样的：我可以假设 doFinal 调用返回给我的数据大小始终小于或等于 AES 块大小吗？文档将 doFinal 方法描述为：

“完成多部分转换 （加密或解密）。流程 可能已缓冲的任何字节 在之前的更新通话中。决赛 转换后的字节存储在 输出缓冲区。”

但它没有说输出缓冲区最多包含一个数据块。虽然我知道这是 AES API 的一般行为，也是我的代码到目前为止所表现出的行为，但是这个假设总是成立吗？

Answer 1

在一般中（如在Cipher类的上下文中），我不认为这样假设是安全的。根据 javadocs 对于该 doFinal 方法：

如果输出缓冲区太小而无法容纳结果，则会抛出 ShortBufferException。在这种情况下，请使用更大的输出缓冲区重复此调用。使用 getOutputSize 来确定输出缓冲区应该有多大。

因此，如果您在调用 doFinal 方法的点“附近”分配输出缓冲区，则调用 getOutputSize 并分配适当大小的缓冲区是有意义的。工作完成了。

另一方面，如果您从“远处”传入一个缓冲区，该缓冲区是按照块大小创建的，那么您可能会遇到更多麻烦。只要 getOutputSize 方法返回适当的大小，Cipher 实现返回大于块大小的输出就是完全合法的（至少根据 Java 类的公共接口）。

事实上，如果您正在进行 CBC 解密，是否需要将所有块传递给 update 方法？在这种情况下，您应该从 doFinal 获取完整的明文输出，而不仅仅是单个块？

Answer 2

一般来说，假设缓冲仅针对一个块是不安全的；当您查看详细信息时，您可能会发现这取决于填充的类型。使用通常的“PKCS#5”填充，至少添加一个字节，最多添加 n 个字节（对于大小为 n 的块），因此解密系统可能会限制自身到 n 字节的缓冲。一些其他类型的填充有点复杂，例如 CTS 需要2n 缓冲字节。 Java 加密层目前似乎不支持 CTS，但可能会在未来版本中添加。

给定 len 额外的输入字节，Cipher.getOutputSize(len) 将为您提供最大输出大小。返回的值可能比实际返回的值稍大，尤其是在解密时，因为它取决于解密时实际找到的填充字节。

可以安全地假设的是，解密消息的总长度不大于加密消息的总长度（对称加密不涉及数据压缩）。因此，您可以维护两个计数器，一个用于输入数据字节（加密块），另一个用于获得的输出数据字节；差异将是从doFinal() 可以获得的最大范围。但这就是 getOutputSize() 所做的事情。