对使用 AES 和 Hmac 的客户端和服务器如何相互验证感到困惑

Question

场景是这样的：我有一个客户端和服务器在交谈。这是标准的想法：

• 使用 Diffie-Hellman 在客户端和服务器之间生成密钥。
• 在客户端和服务器上将此密钥用于 AES/CTR/PKCS7Padding 密码。
• 在原始消息上使用 Hmac
• 使用 AES 密码加密 Hmac 消息

所以这将允许客户端和服务器安全地交谈。

我正在查看的相关代码示例是这里的教程：Tampered message with HMac, encryption with AES in CTR mode : Advanced Encryption Standard « Security « Java Tutorial

我能够为客户端和服务器生成密钥。我可以使用 Hmac 和 AES 对其进行加密。由于加密和解密是独立发生的，我不确定如何检索解密所需的相关信息。

这是我感到困惑的部分：

cipher.init(Cipher.DECRYPT_MODE, key, ivSpec);

byte[] plainText = cipher.doFinal(cipherText, 0, ctLength);
int messageLength = plainText.length - hMac.getMacLength();

hMac.init(hMacKey);
hMac.update(plainText, 0, messageLength);

byte[] messageHash = new byte[hMac.getMacLength()];

如果客户端发送加密消息，服务器如何检索ivSpec、hMac.getMacLength()和hMacKey？服务器需要这些项目来解密来自客户端的消息。

我知道初始化向量 (IV) 可以从密文中保留，因为它附加到结果密文的开头（我认为我必须手动添加它，因为我认为 AES 密码不会那样做?)。然而，用于验证消息完整性的 hMacKey 和 hMac 长度仍然是个谜。

最后一点，有人能解释一下这条线的目的是什么吗？这是加密还是解密？

     cipherText[9] ^= '0' ^ '9';`

Answer 1

首先，对于这种事情，如果您真的这样做，请使用 SSL。出于教育目的，这些东西很酷。

正如其他人所说，这是一个证明 HMAC 在密文被篡改时有效的示例。因此cipherText[9] ^= '0' ^ '9';

为了使用 HMAC，您必须验证您使用密文获得的消息身份验证标签（由 hmac 返回的内容）是否与您应该拥有的匹配。要在此代码中执行此操作：1) 使用您协商的密钥解密消息，2) 使用您协商的不同密钥计算该文本的 hmac，然后 3) 比较两者是否相同。

由于您知道这些密钥，因此您可以解密消息并计算 mac。顺便说一下，mac的长度，是hmac函数的一个固定属性，是公知的。

因为你必须有生成有效标签的密钥，如果它们匹配，那么消息是真实的。

请注意，此代码可能不安全，因为您需要 MAC 密文，而不是明文。如果你不这样做，你最终会遇到像Padding oracle attack 这样的问题，它破坏了一堆网站的安全 cookie 实现。对这类事情使用 SSL。