1. AES/GCM加密模式简介
高级加密标准(AES)是一种广泛使用的对称加密算法。GCM(Galois/Counter Mode)是一种认证加密模式,它不仅提供数据的机密性(加密),还提供数据的完整性(防止篡改)和认证性(验证数据来源)。AES/GCM模式在实际应用中非常流行,特别是在TLS/SSL等协议中。在跨语言实现时,确保所有加密参数(如密钥、初始化向量IV、认证标签Tag的长度和处理方式)以及数据编码格式的一致性至关重要。
2. PHP 加密实现解析
首先,我们来看PHP端的加密实现。PHP使用openssl_encrypt函数进行AES/GCM加密,并自定义了输出数据的格式。
$encryptStr \n");
$decryptStr = aes_gcm_decrypt($encryptStr, $secret);
print_r("decrypt -> $decryptStr \n");PHP加密的关键点:
- 算法模式: aes-128-gcm,指定了AES-128位密钥和GCM模式。
- 密钥 ($secret) 处理: 原始 $secret 是一个十六进制字符串(例如'544553534B4559313233343536'),通过 hex2bin() 转换为二进制密钥。对于AES-128,密钥长度应为16字节。如果提供的十六进制字符串(如示例中的24字符)转换为二进制后不足16字节(12字节),openssl_encrypt可能会根据其内部实现进行零填充或密钥派生,使其达到16字节。
- IV(初始化向量): openssl_random_pseudo_bytes(openssl_cipher_iv_length($cipher)) 生成,对于AES/GCM,标准IV长度为12字节。
- Tag(认证标签): openssl_encrypt 函数通过引用参数 $tag 返回认证标签,默认长度为16字节(128位)。
- 输出格式: 最终的加密字符串是将IV、密文和Tag的二进制数据分别转换为十六进制字符串,然后拼接起来,再将拼接后的十六进制字符串转换为二进制,最后进行Base64编码。其结构为:Base64(Bin(Hex(IV) + Hex(Ciphertext) + Hex(Tag)))。
3. Java 解密问题分析
在Java中尝试解密PHP生成的密文时,常常会遇到 javax.crypto.AEADBadTagException: Tag mismatch! 异常。这通常意味着认证标签验证失败,表明解密过程中某个关键参数(如密钥、IV、Tag长度或密文结构)与加密时不一致。
立即学习“PHP免费学习笔记(深入)”;
初始的Java解密尝试代码可能存在以下问题:
import java.security.spec.KeySpec;
import java.util.Base64;
import java.util.Random;
import javax.crypto.*;
import javax.crypto.spec.*;
public class MyTest {
public static void main(String[] args) throws Exception {
String secret = "544553534B4559313233343536";
String encryptStr = "Fun3yZTPcHsxBpft+jBZDe2NjGNAs8xUHY21eZswZE4iLKYdBsyER7RwVfFvuQ==";
String decryptString = decrypt(encryptStr, secret, 16); // 这里的16是IV长度
System.out.println("decryptString: " + decryptString);
}
private static String decrypt(String data, String mainKey, int ivLength) throws Exception {
final byte[] encryptedBytes = Base64.getDecoder().decode(data.getBytes("UTF8"));
final byte[] initializationVector = new byte[ivLength]; // IV长度被设置为16
System.arraycopy(encryptedBytes, 0, initializationVector, 0, ivLength);
// 密钥派生方式与PHP不一致,PHP直接将十六进制字符串转换为二进制密钥
SecretKeySpec secretKeySpec = new SecretKeySpec(generateSecretKeyFromPassword(mainKey, mainKey.length()), "AES");
// GCMParameterSpec的Tag长度128位正确,但IV长度不正确
GCMParameterSpec gcmParameterSpec = new GCMParameterSpec(128, initializationVector);
Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, gcmParameterSpec);
// 传入doFinal的数据包含密文和Tag,但IV长度错误会影响偏移量
return new String(cipher.doFinal(encryptedBytes, ivLength, encryptedBytes.length - ivLength), "UTF8");
}
// 密钥派生函数,与PHP的hex2bin行为不一致
private static byte[] generateSecretKeyFromPassword(String password, int keyLength) throws Exception {
byte[] salt = new byte[keyLength];
new Random(password.hashCode()).nextBytes(salt);
SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA256");
KeySpec spec = new PBEKeySpec(password.toCharArray(), salt, 65536, 128);
return factory.generateSecret(spec).getEncoded();
}
}导致 AEADBadTagException 的主要原因:
- 密钥处理不一致: PHP通过 hex2bin() 将十六进制字符串直接转换为二进制密钥。而Java代码尝试使用PBKDF2从密码派生密钥。这两种密钥生成方式完全不同,导致Java无法使用正确的密钥进行解密。
- IV 长度不匹配: PHP的AES/GCM模式默认IV长度为12字节。原始Java代码将IV长度设置为16字节,导致提取的IV不正确。
- 数据解析不正确: PHP的输出格式是 Base64(Bin(Hex(IV) + Hex(Ciphertext) + Hex(Tag)))。这意味着Base64解码后得到的是 IV_BYTES | CIPHERTEXT_BYTES | TAG_BYTES 的原始字节流。
