SecretKeyFactory.generateSecret 在 IBM Java 上死于 InvalidKeySpecException
SecretKeyFactory.generateSecret dies with InvalidKeySpecException on IBM Java
我们正在使用 PBKDF2 算法散列密码,使用 SecretKeyFactory.generateSecret 函数,如下所示:
final SecretKeyFactory secretKeyFactory = SecretKeyFactory.getInstance(algorithm);
final PBEKeySpec keySpec = new PBEKeySpec(password.toCharArray(), salt, iterations, hashLength);
final SecretKey secretKey = secretKeyFactory.generateSecret(keySpec);
return secretKey.getEncoded();
一切似乎都工作正常,但是,在生产服务器上,当它在 IBM Java 中为 运行 时,它死于 java.security.spec.InvalidKeySpecException:Could not生成密钥:
Caused by: java.security.spec.InvalidKeySpecException: Could not generate secret key
at javax.crypto.SecretKeyFactory.generateSecret(Unknown Source)
at our.Implementation.doHash(Hasher.java:71)
... 48 more
Caused by: java.lang.RuntimeException: Error deriving PBKDF2 keys
at com.ibm.crypto.provider.PBKDF2KeyImpl.a(Unknown Source)
at com.ibm.crypto.provider.PBKDF2KeyImpl.<init>(Unknown Source)
at com.ibm.crypto.provider.PBKDF2HmacSHA1Factory.engineGenerateSecret(Unknown Source)
... 50 more
我们尝试更改迭代计数、生成的哈希大小和盐大小,但无济于事。我做错了什么?
显然,PBKDF2 的 IBM Java 实现似乎坚持密码不能为空。如果是,实现会抛出异常。
空密码可以说是一种边缘情况,但是,第一个测试用例正是这样,所以看起来代码根本不起作用。此外,虽然是边缘情况,但您要么需要确保它永远不会发生(验证要求用户密码不能为空),要么您应该优雅地处理它。
如果你真的需要支持空密码,你要么需要将它们作为特殊情况处理,要么只是规范化所有密码,以便 PBKDF2 的输入永远不会为空。但是,您必须确保不会以这种方式损害安全性。
最后,我们选择为所有密码加上长度前缀,这样即使是空密码也能以非空字符串结束。像这样:
final String prefixedPassword = String.format(Locale.ROOT, "%08x%s", password.length(), password);
我们正在使用 PBKDF2 算法散列密码,使用 SecretKeyFactory.generateSecret 函数,如下所示:
final SecretKeyFactory secretKeyFactory = SecretKeyFactory.getInstance(algorithm);
final PBEKeySpec keySpec = new PBEKeySpec(password.toCharArray(), salt, iterations, hashLength);
final SecretKey secretKey = secretKeyFactory.generateSecret(keySpec);
return secretKey.getEncoded();
一切似乎都工作正常,但是,在生产服务器上,当它在 IBM Java 中为 运行 时,它死于 java.security.spec.InvalidKeySpecException:Could not生成密钥:
Caused by: java.security.spec.InvalidKeySpecException: Could not generate secret key
at javax.crypto.SecretKeyFactory.generateSecret(Unknown Source)
at our.Implementation.doHash(Hasher.java:71)
... 48 more
Caused by: java.lang.RuntimeException: Error deriving PBKDF2 keys
at com.ibm.crypto.provider.PBKDF2KeyImpl.a(Unknown Source)
at com.ibm.crypto.provider.PBKDF2KeyImpl.<init>(Unknown Source)
at com.ibm.crypto.provider.PBKDF2HmacSHA1Factory.engineGenerateSecret(Unknown Source)
... 50 more
我们尝试更改迭代计数、生成的哈希大小和盐大小,但无济于事。我做错了什么?
显然,PBKDF2 的 IBM Java 实现似乎坚持密码不能为空。如果是,实现会抛出异常。
空密码可以说是一种边缘情况,但是,第一个测试用例正是这样,所以看起来代码根本不起作用。此外,虽然是边缘情况,但您要么需要确保它永远不会发生(验证要求用户密码不能为空),要么您应该优雅地处理它。
如果你真的需要支持空密码,你要么需要将它们作为特殊情况处理,要么只是规范化所有密码,以便 PBKDF2 的输入永远不会为空。但是,您必须确保不会以这种方式损害安全性。
最后,我们选择为所有密码加上长度前缀,这样即使是空密码也能以非空字符串结束。像这样:
final String prefixedPassword = String.format(Locale.ROOT, "%08x%s", password.length(), password);