Совместимость Pycrypto RSA PKCS1 OAEP SHA256 с Java

Я использую следующий код в Python + Pycryptodome (форк Pycrypto) для шифрования сообщения с использованием RSA PKCS#1 OAEP SHA256 (RSA/ECB/OAEPWithSHA-256AndMGF1Padding):

from Crypto.Cipher import PKCS1_OAEP
from Cryptodome.Hash import SHA256
cipher = PKCS1_OAEP.new(key=self.key, hashAlgo=SHA256))
ciphertext = cipher.encrypt(cek)

и следующий код на Java для его расшифровки:

Cipher cipher = Cipher.getInstance("RSA/ECB/OAEPWithSHA-256AndMGF1Padding");
cipher.init(Cipher.DECRYPT_MODE, privateKey);

byte[] cek = cipher.doFinal(ciphertext);

Однако я получаю:

Exception in thread "main" javax.crypto.BadPaddingException: Decryption error
    at sun.security.rsa.RSAPadding.unpadOAEP(RSAPadding.java:499)
    at sun.security.rsa.RSAPadding.unpad(RSAPadding.java:293)
    at com.sun.crypto.provider.RSACipher.doFinal(RSACipher.java:363)
    at com.sun.crypto.provider.RSACipher.engineDoFinal(RSACipher.java:389)
    at javax.crypto.Cipher.doFinal(Cipher.java:2165)

python java rsa pycrypto pycryptodome
person Alastair McCormack    schedule 17.05.2018    source источник

Ответы (1)


arrow_upward
6
arrow_downward

В Sun JCE RSA/ECB/OAEPWithSHA-256AndMGF1Padding на самом деле означает:

  • Хэш = SHA256
  • MGF1 = SHA1

Pycrypto (включая Pycryptodome), с другой стороны, предполагает следующее при использовании PKCS1_OAEP.new(hashAlgo=SHA256):

  • Хэш = SHA256
  • MGF1 = SHA256

Чтобы сделать Pycrypto совместимым с Sun JCE, вам нужно будет настроить функцию Pycrypto OAEP MGF1 для использования SHA1, передав аргумент mgfunc:

from Cryptodome.Cipher import PKCS1_OAEP
from Cryptodome.Hash import SHA256, SHA1
from Cryptodome.Signature import pss

cipher = PKCS1_OAEP.new(key=self.key, hashAlgo=SHA256, mgfunc=lambda x,y: pss.MGF1(x,y, SHA1))
ciphertext = cipher.encrypt(cek)

Стоит отметить, что согласно разбивке RSA/ECB/OAEPWITSHA-256ANDMGF1PADDING, BouncyCastle использует SHA256 как для Hash, так и для MGF1 так же, как Pycrypto.

person Alastair McCormack    schedule 17.05.2018