Pycrypto RSA PKCS1 OAEP SHA256 Совместимость с Java
Я использую следующий код в Python + Pycryptodome (Pycrypto fork) для шифрования сообщения с использованием RSA PKCS # 1 OAEP SHA256 (RSA/ECB/OAEPWithSHA-256AndMGF1Padding):
from Crypto.Cipher import PKCS1_OAEP
from Cryptodome.Hash import SHA256
cipher = PKCS1_OAEP.new(key=self.key, hashAlgo=SHA256))
ciphertext = cipher.encrypt(cek)
и следующий код в Java для его расшифровки:
Cipher cipher = Cipher.getInstance("RSA/ECB/OAEPWithSHA-256AndMGF1Padding");
cipher.init(Cipher.DECRYPT_MODE, privateKey);
byte[] cek = cipher.doFinal(ciphertext);
Тем не менее, я получаю:
Exception in thread "main" javax.crypto.BadPaddingException: Decryption error
at sun.security.rsa.RSAPadding.unpadOAEP(RSAPadding.java:499)
at sun.security.rsa.RSAPadding.unpad(RSAPadding.java:293)
at com.sun.crypto.provider.RSACipher.doFinal(RSACipher.java:363)
at com.sun.crypto.provider.RSACipher.engineDoFinal(RSACipher.java:389)
at javax.crypto.Cipher.doFinal(Cipher.java:2165)
1 ответ
Решение
В ВС JCE, RSA/ECB/OAEPWithSHA-256AndMGF1Paddingфактически означает Hash=SHA256 и MGF1 с использованием SHA1. Pycrypto*, с другой стороны, предполагает MGF1+SHA256, когда Hash=SHA256.
Вам нужно будет настроить Pycrypto * соответствующим образом, передав правильный механизм хеширования функции MGF1:
from Cryptodome.Cipher import PKCS1_OAEP
from Cryptodome.Hash import SHA256, SHA1
from Cryptodome.Signature import pss
cipher = PKCS1_OAEP.new(key=self.key, hashAlgo=SHA256, mgfunc=lambda x,y: pss.MGF1(x,y, SHA1))
ciphertext = cipher.encrypt(cek)
Стоит отметить, что в соответствии с разделением RSA/ECB/OAEPWITHSHA-256ANDMGF1PADDING BouncyCastle использует SHA256 для хэша и MGF1 точно так же, как Pycrypto *.