可用的填充方案是否符合 BSI 指南

Question

我目前正在评估 Java 的 ESAPI 安全库的加密功能。我的目标是验证 ESAPI 是否支持 本指南由 BSI 编写（链接指向德语文档，无英文版本）。

到目前为止，我可以在 CBC 模式下使用建议的 AES-128。不幸的是，BSI 仅建议以下 3 种填充方案（文档中的第 10 页）：

• ISO 填充（参考 ISO-7816-4-2005）
• 符合 RFC 4303 的填充
• ESP 填充

ESAPI 库仅支持 PKCS5 填充 和 ISO-10126 Padding （根据 RFC 4303 （请参阅第 13 页和14）。在我看来，它看起来是兼容的，但第二个意见会有所帮助。任何具有更扎实的密码学背景的人都可以阐明这一点吗？如果到目前为止我的分析有任何错误，如果您能指出来，那就太好了。也许我把事情复杂化了，其中一些方案是等效的，但我错过了这一点。

Answer 1

ESAPI 应该支持您的 JCE 提供商可用并支持的任何填充方案。它只是默认使用 PKCS#5 填充，但可以通过调整 ESAPI.properties 文件中的 Encryptor.CipherTransformation 属性来更改。

ESAPI 使用您的 JVM 默认使用的任何 JCE 提供程序。一般来说，这是SunJCE。但是，这也可以通过 ESAPI.properties 中的 Encryptor.PreferredJCEProvider 属性进行更改。 SunJCE 仅支持 JDK 1.6 中 AES 的 NOPADDING、PKCS5PADDING、ISO10126PADDING 填充方案。 （IIRC，我认为 JDK 1.5 及更早版本不支持 ISO-10126 填充，但我尚未确认这一点。）但是，其他 JCE 提供商（例如 Bouncy Castle）可能提供其他填充方案。 （根据此，http://www.bouncycastle.org/specifications.html，看来就像 Bouncy Castle 通过 ISO7816d4Padding 支持 ISO-7816-4 填充一样，我还没有对此进行测试，但如果它不起作用，请向 ESAPI 用户列表发送电子邮件，或者在 http://code.google.com/p/owasp-esapi-java/issues /list，我会尽力为您修复它。）

顺便说一句，我不懂德语，但不确定 PKCS#5 填充的问题是什么，除非它是填充预言机攻击。如果是这样，只要您使用支持消息真实性的密码模式（例如 GCM 或 CCM（两者均经过 NIST 批准））或使用 ESAPI 以通过 HMAC 确保消息真实性，ESAPI 就能满足您的需求。后者通过属性 Encryptor.CipherText.useMAC 进行控制，该属性在交付的标准 ESAPI.properties 文件中默认设置为“true”。

——凯文·沃尔

Answer 2

回答 PKCS#5 填充和 RFC 4303 填充机制是否兼容的问题：不，它们不兼容。

首先，我对 RFC 4303 的阅读表明填充字节的值是 01、02、...，并且 PKCS#5 将填充字节数作为所有 填充字节的值。因此，2 个字节的填充在 RFC 4303 中为 01 02，在 PKCS#5 中为 02 02。

我看到的第二个差异是要填充的实际字节数。 PKCS#5 指示当消息已经是块长度的倍数时添加完整的填充块。我在RFC4303中没有看到这样的要求。只是填充范围在 0 到 255 字节之间。然而，除了不正确的值之外，PKCS#5 pad 的长度对于 RFC 4303 来说是可接受的。