过去几天我一直在玩Bouncy Castle(java),而且我已经达到了相信我可以用Diffie-Hellman交换安全地交换密钥的程度。加密密钥交换的同行评审
阅读了许多帖子,强调了正确实施密码交换的难度,我希望你对我的工作有诚意。 所有基础密码操作都基于Bouncy Castle,因此可能被视为可靠。
String message = "Hello World";
AESCipher aes_client = new AESCipher(256);
RSACipher rsa_server = new RSACipher(2048);
// (Public key sent over the wire)
RSACipher rsa_client = new RSACipher(rsa_server.getPublicKey().getModulus(),
rsa_server.getPublicKey().getExponent());
// The client encodes his AES key with the RSA public key:
byte[] aes_key = rsa_client.encode(aes_client.getKeyBytes());
byte[] aes_iv = rsa_client.encode(aes_client.getInitializationVector());
// (Data sent back over the wire)
byte[] decoded_aes_key = rsa_server.decode(aes_key);
byte[] decoded_aes_iv = rsa_server.decode(aes_iv);
// The server creates an AES server which uses the client key:
AESCipher aes_server = new AESCipher(decoded_aes_key, decoded_aes_iv);
byte[] encoded_message = aes_client.encode(message.getBytes());
byte[] decoded_message = aes_server.decode(encoded_message);
System.out.println(new String(decoded_message));
这次交流可以认为是安全吗?我是否应该坚持使用SSL套接字,尽管它会伤害我的辛苦工作? 预先感谢您的意见!
(顺便说一句,我的快活 - 城堡 - 包装 - 库是完全开源的,所以才让我知道如果你想存储库的URL)。
可能是一个更好的问题http://codereview.stackexchange.com/ – dbyrne 2011-03-14 18:44:14
我不知道这个网站。感谢您的信息,我会在那里回答我的问题。 – executifs 2011-03-14 18:47:28
@Executifs,你怎么知道在中间问题上与男人作斗争。您需要一些根证书来验证服务器公钥。或者客户端已经安装了公钥? – bestsss 2011-03-14 19:36:43