本文详细探讨了在PHP和Java之间实现AES/GCM/128加解密的互操作性问题,特别解决了Java端解密PHP加密内容时遇到的AEADBadTagException。文章深入分析了PHP加密过程中的密钥、IV和认证标签处理方式,并提供了经过修正的Java解密代码,确保了密钥格式、IV长度以及密文与标签解析的准确匹配,从而实现跨语言的安全数据交换。
1. AES/GCM 加密概述
AES (Advanced Encryption Standard) 是一种广泛使用的对称加密算法,而GCM (Galois/Counter Mode) 是一种认证加密模式,它在提供数据机密性的同时,也提供了数据完整性和认证功能。AES/GCM/128 表示使用128位的AES密钥,工作在GCM模式下。在跨语言实现加解密时,确保所有参数(如密钥、初始化向量IV、认证标签Tag、密文、填充模式等)在不同语言之间保持一致至关重要。
AES/GCM模式的主要组成部分包括:
- 密钥 (Key):用于加密和解密的秘密信息。对于AES-128,密钥长度必须是16字节(128位)。
- 初始化向量 (IV):一个随机的、不重复的数值,用于确保即使使用相同的密钥加密相同的数据,也能生成不同的密文。对于GCM模式,推荐的IV长度是12字节。
- 密文 (Ciphertext):加密后的数据。
- 认证标签 (Authentication Tag):由GCM模式生成,用于验证密文的完整性和真实性。通常为16字节(128位)。
2. PHP 加密过程分析
提供的PHP代码展示了如何使用openssl_encrypt函数进行AES-128-GCM加密。
<?php
function aes_gcm_encrypt($data, $secret) {
$cipher = 'aes-128-gcm';
$string = is_array($data) ? json_encode($data) : $data;
// 1. 密钥处理:将十六进制字符串转换为二进制
$skey = hex2bin($secret);
// 2. IV生成:生成12字节的随机IV
$iv = openssl_random_pseudo_bytes(openssl_cipher_iv_length($cipher));
$tag = NULL;
// 3. 加密操作:生成密文和认证标签
$content = openssl_encrypt($string, $cipher, $skey, OPENSSL_RAW_DATA, $iv, $tag);
// 4. 数据拼接与编码:IV、密文、标签按顺序拼接,进行hex2bin后再base64编码
$str = bin2hex($iv) . bin2hex($content) . bin2hex($tag);
return base64_encode(hex2bin($str));
}
?>
登录后复制
从PHP代码中我们可以提取以下关键信息:
立即学习“PHP免费学习笔记(深入)”;
- 密钥 ($secret): 原始输入是一个十六进制字符串(例如544553544B4559313233343536),通过hex2bin转换为二进制密钥。需要注意的是,AES-128要求16字节密钥,而示例中的十六进制字符串对应12字节。openssl_encrypt可能内部对短密钥进行了处理(例如填充),Java端需要精确模拟或确保密钥长度匹配。
- IV ($iv): 使用openssl_random_pseudo_bytes(openssl_cipher_iv_length($cipher))生成,对于aes-128-gcm,其长度为12字节。
- 认证标签 ($tag): openssl_encrypt在GCM模式下会自动生成认证标签,通常为16字节。
- 输出格式: PHP将IV、密文和认证标签的十六进制表示串联起来(bin2hex($iv) . bin2hex($content) . bin2hex($tag)),然后将这个完整的十六进制字符串转换为二进制,最后进行Base64编码。这意味着Base64解码后的数据将是 IV_bytes || Ciphertext_bytes || Tag_bytes 的二进制串。
3. Java 解密问题及分析
初始的Java解密代码在尝试解密PHP加密的内容时抛出了AEADBadTagException。这通常意味着认证标签不匹配,即解密过程中计算出的标签与接收到的标签不一致,这可能是由于密钥、IV、密文或标签本身处理不当造成的。
// 原始Java解密代码片段
private static String decrypt(String data, String mainKey, int ivLength) throws Exception {
final byte[] encryptedBytes = Base64.getDecoder().decode(data.getBytes("UTF8"));
final byte[] initializationVector = new byte[ivLength]; // 问题1:ivLength可能不正确
System.arraycopy(encryptedBytes, 0, initializationVector, 0, ivLength);
// 问题2:密钥生成方式与PHP不匹配,使用了PBKDF2
SecretKeySpec secretKeySpec = new SecretKeySpec(generateSecretKeyFromPassword(mainKey, mainKey.length()), "AES");
GCMParameterSpec gcmParameterSpec = new GCMParameterSpec(128, initializationVector);
Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, gcmParameterSpec);
// 问题3:doFinal的偏移量和长度可能未正确处理密文和标签
return new String(cipher.doFinal(encryptedBytes, ivLength, encryptedBytes.length - ivLength), "UTF8");
}
// 原始Java密钥生成函数
private static byte[] generateSecretKeyFromPassword(String password, int keyLength) throws Exception {
// ... 使用PBKDF2WithHmacSHA256,这与PHP的hex2bin完全不同
}
登录后复制
分析发现,导致AEADBadTagException的主要原因包括:
- 密钥生成不匹配: Java代码通过generateSecretKeyFromPassword使用PBKDF2从密码派生密钥,这与PHP直接将十六进制字符串转换为二进制密钥的方式完全不一致。
- IV长度不匹配: 原始Java代码中的ivLength是一个可变参数,如果设置为16(常见的AES模式IV长度),而PHP实际生成的是12字节的IV,则会导致错误。
- 数据解析不精确: 虽然Base64解码是正确的,但Java在提取IV后,将剩余的所有数据(密文和认证标签)都传递给了doFinal方法。GCMParameterSpec(128, initializationVector)已经告知Cipher期望的认证标签长度是128位(16字节),所以cipher.doFinal会正确地从传入的最后部分数据中解析出标签。因此,这个问题并非主要原因,关键在于前两点。
4. 修正后的Java解密实现
为了实现与PHP的兼容解密,Java代码需要进行以下修正:
-
统一密钥处理:
- PHP的密钥是十六进制字符串。Java需要一个函数将十六进制字符串转换为字节数组。
- PHP的aes-128-gcm需要16字节密钥。如果输入的十六进制字符串密钥不足16字节(例如示例中的12字节),Java端需要像PHP可能内部做的那样进行填充(通常是补零),或者截断超过16字节的部分,以确保密钥长度为16字节。
- 固定IV长度: 明确指定IV长度为12字节,与PHP的openssl_cipher_iv_length(‘aes-128-gcm’)保持一致。
- 正确解析数据: Base64解码后,数据结构为 IV (12字节) || Ciphertext || Tag (16字节)。Java需要正确地从这个字节数组中提取IV,然后将剩余的密文和标签传递给Cipher.doFinal。
以下是修正后的Java解密代码:
import java.nio.charset.StandardCharsets;
import java.util.Base64;
import javax.crypto.*;
import javax.crypto.spec.*;
public class MyTest {
public static final String ALGO = "AES";
public static final String GCM_ALGO = "AES/GCM/NoPadding";
public static final int IV_LENGTH = 12; // 明确指定IV长度为12字节
public static void main(String[] args) throws Exception {
String secret = "544553544B4559313233343536"; // PHP加密使用的十六进制密钥
String encryptStr = "Fun3yZTPcHsxBpft+jBZDe2NjGNAs8xUHY21eZswZE4iLKYdBsyER7RwVfFvuQ=="; // PHP加密后的Base64字符串
// 格式化密钥,确保其长度符合AES-128(16字节)
secret = reformatSecret(secret);
String decryptStr = decrypt(encryptStr, secret);
System.out.println("encryptString: " + encryptStr);
System.out.println("secret (formatted hex): " + secret);
System.out.println("decryptString: " + decryptStr);
}
/**
* 解密PHP加密的AES/GCM数据
* @param data Base64编码的加密字符串
* @param secret 格式化后的十六进制密钥字符串
* @return 解密后的明文字符串
* @throws Exception 加密异常
*/
private static String decrypt(String data, String secret) throws Exception {
// 1. Base64解码,得到 IV || Ciphertext || Tag 的字节数组
final byte[] encryptedBytes = Base64.getDecoder().decode(data.getBytes(StandardCharsets.UTF_8));
// 2. 提取IV
final byte[] initializationVector = new byte[IV_LENGTH];
System.arraycopy(encryptedBytes, 0, initializationVector, 0, IV_LENGTH);
// 3. 将十六进制密钥字符串转换为字节数组
final byte[] keyBytes = parseHexStr2Byte(secret);
SecretKeySpec secretKeySpec = new SecretKeySpec(keyBytes, ALGO);
// 4. 初始化GCM参数,指定IV和认证标签长度(128位即16字节)
GCMParameterSpec gcmParameterSpec = new GCMParameterSpec(128, initializationVector);
// 5. 获取Cipher实例并初始化为解密模式
Cipher cipher = Cipher.getInstance(GCM_ALGO);
cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, gcmParameterSpec);
// 6. 执行解密。从IV_LENGTH偏移量开始,长度为总长度减去IV长度,这部分数据包含密文和认证标签。
// Cipher会自动根据GCMParameterSpec中的标签长度从末尾提取标签。
byte[] decryptedBytes = cipher.doFinal(encryptedBytes, IV_LENGTH, encryptedBytes.length - IV_LENGTH);
// 7. 将解密后的字节数组转换为UTF-8字符串
return new String(decryptedBytes, StandardCharsets.UTF_8);
}
/**
* 格式化密钥:确保密钥是32个十六进制字符(16字节),不足则补零,超出则截断。
* @param secret 原始十六进制密钥字符串
* @return 格式化后的十六进制密钥字符串
*/
public static String reformatSecret(String secret) {
if (secret == null || secret.length() < 1) {
return "";
}
int secretLen = secret.length();
if (secretLen < 32) { // AES-128需要16字节密钥,即32个十六进制字符
StringBuilder str = new StringBuilder(secret);
while (secretLen < 32) {
str.append("0"); // 补零
secretLen = str.length();
}
return str.toString();
} else {
return secret.substring(0, 32); // 截断
}
}
/**
* 将十六进制字符串转换为字节数组
* @param hexStr 十六进制字符串
* @return 字节数组
*/
public static byte[] parseHexStr2Byte(String hexStr) {
int len = hexStr.length();
byte[] data = new byte[len / 2];
for (int i = 0; i < len; i += 2) {
data[i / 2] = (byte) ((Character.digit(hexStr.charAt(i), 16) << 4) + Character.digit(hexStr.charAt(i+1), 16));
}
return data;
}
}
登录后复制
运行结果:
encryptString: Fun3yZTPcHsxBpft+jBZDe2NjGNAs8xUHY21eZswZE4iLKYdBsyER7RwVfFvuQ==
secret (formatted hex): 544553544B45593132333435360000000000
decryptString: Test text.{123456}
登录后复制
5. 注意事项与最佳实践
在进行跨语言加密互操作时,需要特别注意以下几点:
- 密钥管理: 在生产环境中,密钥不应直接硬编码在代码中,而应通过安全的密钥管理系统进行存储和检索。
- 密钥长度与算法: 始终确保密钥长度与所选加密算法(如AES-128要求16字节)严格匹配。如果原始密钥不符合要求,需要明确定义填充或截断策略,并在所有互操作方保持一致。
- IV生成与传输: IV必须是随机且不重复的,并且在每次加密时都重新生成。IV本身不需要保密,但必须与密文一起传输给解密方。本例中PHP将IV与密文和标签拼接在一起,并进行Base64编码传输,这是常见的做法。
- 认证标签: GCM模式下的认证标签是防止篡改的关键。解密时,如果标签不匹配,必须拒绝解密结果,并抛出异常(如AEADBadTagException),绝不能返回部分解密的数据。
- 字符编码:
以上就是跨语言AES/GCM/128加解密指南:PHP与Java互操作实现的详细内容,更多请关注php中文网其它相关文章!