RSA / ECB / OAEPWITHSHA-256ANDMGF1PADDINGの分解

引用 https://stackoverflow.com/a/32166210/569976 、

OAEPのデフォルトでは、MGF1にSHA-1を使用します。選択したハッシュはOAEPのセキュリティにそれほど影響を与えないことに注意してください。そのため、ほとんどの場合、このデフォルトのままにしておきます。

"OAEPPadding"およびOAEPParameterSpecに対してテストすることで、これを簡単にテストできます。

// --- we need a key pair to test encryption/decryption
KeyPairGenerator kpg = KeyPairGenerator.getInstance("RSA");
kpg.initialize(1024); // speedy generation, but not secure anymore
KeyPair kp = kpg.generateKeyPair();
RSAPublicKey pubkey = (RSAPublicKey) kp.getPublic();
RSAPrivateKey privkey = (RSAPrivateKey) kp.getPrivate();

// --- encrypt given algorithm string
Cipher oaepFromAlgo = Cipher.getInstance("RSA/ECB/OAEPWITHSHA-256ANDMGF1PADDING");
oaepFromAlgo.init(Cipher.ENCRYPT_MODE, pubkey);
byte[] ct = oaepFromAlgo.doFinal("owlstead".getBytes(StandardCharsets.UTF_8));

// --- decrypt given OAEPParameterSpec
Cipher oaepFromInit = Cipher.getInstance("RSA/ECB/OAEPPadding");
OAEPParameterSpec oaepParams = new OAEPParameterSpec("SHA-256", "MGF1", new MGF1ParameterSpec("SHA-1"), PSpecified.DEFAULT);
oaepFromInit.init(Cipher.DECRYPT_MODE, privkey, oaepParams);
byte[] pt = oaepFromInit.doFinal(ct);
System.out.println(new String(pt, StandardCharsets.UTF_8));

パラメータとしてMGF1を"SHA-256"に置き換えると、コードはパディング関連の例外で失敗します。

拡張アルゴリズムがまったく必要な理由は、他のCipherアルゴリズムとの互換性です。例えばのために書かれたコード"RSA/ECB/PKCS1Padding"は、OAEPパラメーターはもちろん、パラメーターを使用しません。したがって、より長い文字列がないと、OAEPはドロップイン交換として機能できません。

---

操作モード"ECB"は、このコンテキストでは何も意味しません。"None"であるか、完全に省略されている必要があります。 SunRSAプロバイダーのRSA実装を使用して単一のブロックのみを暗号化できます。