在 BouncyCastle BCFKS 密钥库中存储 X25519 密钥对
Storing a X25519 key pair in a BouncyCastle BCFKS keystore
为了与 Curve25519 执行 Diffie-Hellman 密钥协议,我使用 BouncyCastle 1.68 生成以下密钥对:
// Generate a key pair
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("X25519", BouncyCastleProvider.PROVIDER_NAME);
keyPairGenerator.initialize(new XDHParameterSpec(XDHParameterSpec.X25519));
KeyPair keyPair = keyPairGenerator.generateKeyPair();
使用这个密钥对,我现在能够成功地执行密钥协议:
// Perform a (dummy) key agreement
KeyAgreement keyAgreement = KeyAgreement.getInstance("X25519", BouncyCastleProvider.PROVIDER_NAME);
keyAgreement.init(keyPair.getPrivate());
keyAgreement.doPhase(keyPair.getPublic(), true);
byte[] secret = keyAgreement.generateSecret();
现在我想将这个密钥对安全地存储在 BCFKS 密钥库中以供将来使用,如下所示:
// Create a key store for the key pair
KeyStore keyStore = KeyStore.getInstance("BCFKS", BouncyCastleProvider.PROVIDER_NAME);
keyStore.load(null, "keyStorePassword".toCharArray());
// Put the key pair in the key store as a PrivateKeyEntry
final X509Certificate selfSignedCertificate = generateSelfSignedCertificate(keyPair); // TODO: How to generate a certificate?
final KeyStore.PrivateKeyEntry entry = new KeyStore.PrivateKeyEntry(keyPair.getPrivate(), new Certificate[]{selfSignedCertificate});
keyStore.setEntry("alias", entry, new KeyStore.PasswordProtection("keyEntryPassword".toCharArray()));
... 除了 KeyStore.PrivateKeyEntry 构造函数需要证书(与 public 密钥相反),并且 X25519 不能根据定义用于签署证书。 (尝试使用它创建一个 Signer 自然会失败 java.lang.IllegalArgumentException: Unknown signature type requested: X25519)
我是否遗漏了一些明显的东西,或者目前没有简单的方法可以将 X25519 密钥对放入 BCFKS 密钥库?
考虑到我真的不需要证书,只是一种将 private/public 密钥存储在密钥库中的方法,是否有我可以应用的解决方法?
Java 密钥库无法直接存储 public 密钥,只能存储在证书中。
使用第二个 bogus/throwaway 密钥(f.i.RSA).
为了与 Curve25519 执行 Diffie-Hellman 密钥协议,我使用 BouncyCastle 1.68 生成以下密钥对:
// Generate a key pair
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("X25519", BouncyCastleProvider.PROVIDER_NAME);
keyPairGenerator.initialize(new XDHParameterSpec(XDHParameterSpec.X25519));
KeyPair keyPair = keyPairGenerator.generateKeyPair();
使用这个密钥对,我现在能够成功地执行密钥协议:
// Perform a (dummy) key agreement
KeyAgreement keyAgreement = KeyAgreement.getInstance("X25519", BouncyCastleProvider.PROVIDER_NAME);
keyAgreement.init(keyPair.getPrivate());
keyAgreement.doPhase(keyPair.getPublic(), true);
byte[] secret = keyAgreement.generateSecret();
现在我想将这个密钥对安全地存储在 BCFKS 密钥库中以供将来使用,如下所示:
// Create a key store for the key pair
KeyStore keyStore = KeyStore.getInstance("BCFKS", BouncyCastleProvider.PROVIDER_NAME);
keyStore.load(null, "keyStorePassword".toCharArray());
// Put the key pair in the key store as a PrivateKeyEntry
final X509Certificate selfSignedCertificate = generateSelfSignedCertificate(keyPair); // TODO: How to generate a certificate?
final KeyStore.PrivateKeyEntry entry = new KeyStore.PrivateKeyEntry(keyPair.getPrivate(), new Certificate[]{selfSignedCertificate});
keyStore.setEntry("alias", entry, new KeyStore.PasswordProtection("keyEntryPassword".toCharArray()));
... 除了 KeyStore.PrivateKeyEntry 构造函数需要证书(与 public 密钥相反),并且 X25519 不能根据定义用于签署证书。 (尝试使用它创建一个 Signer 自然会失败 java.lang.IllegalArgumentException: Unknown signature type requested: X25519)
我是否遗漏了一些明显的东西,或者目前没有简单的方法可以将 X25519 密钥对放入 BCFKS 密钥库?
考虑到我真的不需要证书,只是一种将 private/public 密钥存储在密钥库中的方法,是否有我可以应用的解决方法?
Java 密钥库无法直接存储 public 密钥,只能存储在证书中。
使用第二个 bogus/throwaway 密钥(f.i.RSA).