20.5Verschlüsseln von Daten(-strömen) * 
Kryptografie unterscheidet zwischen asymmetrischer und symmetrischer Verschlüsselung. Ist die Kommunikation asymmetrisch, sind zwei Schlüssel nötig: ein öffentlicher und ein privater. Bei der symmetrischen Verschlüsselung ist nur ein Schlüssel erforderlich, der bei der Ver- und Entschlüsselung gleich ist. Bekanntester Vertreter der symmetrischen Verschlüsselung ist DES (Data Encryption Standard), der allerdings wegen seiner geringen Schlüssellänge nicht mehr aktuell ist. DES wurde 1981 in den USA als ANSI-Standard normiert. Bei den asymmetrischen Verfahren ist die RSA-Verschlüsselung die bekannteste. Ihre Sicherheit basiert auf dem mathematischen Problem, für eine große Ganzzahl eine Primfaktorzerlegung zu finden. Asymmetrische Verschlüsselung ist im Vergleich zu symmetrischen Verschlüsselungen langsam.
20.5.1Den Schlüssel, bitte
Jeder Schlüssel, sei er privat oder öffentlich, implementiert die Basisschnittstelle java.security.Key. Von dieser Schnittstelle gibt es Unterschnittstellen, etwa PublicKey, PrivateKey für die asymmetrischen Schlüssel oder SecretKey für den symmetrischen Schlüssel. Von diesen Schnittstellen existieren weitere Unterschnittstellen.
Schlüssel aus der Fabrik
Um Schlüssel zu erzeugen, gibt es zwei Fabriken: KeyGenerator erzeugt symmetrische Schlüssel und KeyPairGenerator asymmetrische. Der Fabrikmethode getInstance(String) ist dabei eine Kennung zu übergeben, die für den Algorithmus steht.
Listing 20.9com/tutego/security/crypto/KeyGeneratorDemo.java, main()
KeyPairGenerator kpg = KeyPairGenerator.getInstance( "RSA" );
Der nächste Schritt sieht eine Initialisierung des Schlüssels mit zufälligen Werten vor. Ohne Initialisierung kann jeder Provider unterschiedlich verfahren.
kpg.initialize( 1024 );
Nicht besonders schlau ist, dass einmal bei javax.crypto.KeyGenerator die Methode init(…) heißt und dann einmal initialize(…) bei java.security.KeyPairGenerator.Beiden Methoden lässt sich noch ein Zufallszahlengenerator mitgeben, doch intern ist das SecureRandom schon sehr gut. Kryptografische Angaben kann ein Objekt vom Typ AlgorithmParameterSpec einführen.
Der letzte Schritt besteht im Erfragen der Schlüssel:
KeyPair keyPair = kpg.genKeyPair();
Bei einer Ausgabe des symmetrischen Schlüssels über System.out.println(…) kommt nicht viel Sinnvolles heraus, doch bei den privaten und öffentlichen Schlüsseln, die keyPair mit getPublic() und getPrivate() offenlegt, implementieren PublicKey und PrivateKey eine ansehnliche toString()-Methode:
Liefert:
public exponent:
010001
modulus:
a8186ac3 03b9417e c0247c70 d225ae75 04d2fa3b 9b21e009 ca32a1f3 3cc7404f
aeb6df52 0aa4d9ab ae35a5d5 d7b30f38 ce670895 3234fab2 c67f1211 b9dab8d2
edda3a7b 710fbf86 0274a2a6 842c4d73 76fc2166 80ef1e82 36a949f9 8180c5c7
004cffdd c103b42b 9abf216d 5f797440 20b8ec52 afe44407 a871e1f7 0e27fec9
System.out.println(keyPair.getPrivate()) liefert eine noch längere Ausgabe mit Exponent, Modulo usw.
SecretKeySpec
Schlüssel für die symmetrische Verschlüsselung sind nichts anderes als Binärfelder. Die Klasse javax.crypto.spec.SecretKeySpec dient dem Erzeugen eines symmetrischen Schlüssels und erwartet im Konstruktor das Byte-Feld und den Algorithmus.
Für andere Typen existieren wiederum andere Klassen. Zum Beispiel erzeugt DSAPrivateKeySpec einen privaten Schlüssel aus einem anderen Schlüssel, zwei Primzahlen und einer Basis, die als BigInteger-Objekte angegeben sind.
20.5.2Verschlüsseln mit Cipher
Die Klasse javax.crypto.Cipher bildet das Zentrum der JCE. Nachdem init(…) das Objekt mit einem Modus und Schlüssel initialisiert hat, lassen sich mit update(byte[]) Daten durchschleusen. doFinal() bzw. doFinal(byte[][, …])-Varianten runden das Ganze dann ab. Die Rückgabe ist immer ein verschlüsselter byte-Block:
cipher.init( Cipher.ENCRYPT_MODE, key );
byte[] verschlüsselt = cipher.doFinal( unverschlüsselt );
Beim Entschlüsseln wird der Cipher einfach in den Modus Cipher.DECRYPT_MODE gesetzt.
20.5.3Verschlüsseln von Datenströmen
Zum Verschlüsseln von Datenströmen bietet die Java-Bibliothek die praktischen Klassen javax.crypto.CipherInputStream und CipherOutputStream an. Sie erwarten ein Cipher-Objekt, das eine DES-Verschlüsselung durchführt:
Listing 20.10com/tutego/security/crypto/ReadWriteDES.java
import java.io.*;
import java.math.BigInteger;
import java.security.*;
import javax.crypto.*;
import javax.crypto.spec.SecretKeySpec;
public class ReadWriteDES {
static void encode( byte[] bytes, OutputStream out, String pass )
throws GeneralSecurityException, IOException {
Cipher c = Cipher.getInstance( "DES" );
Key k = new SecretKeySpec( pass.getBytes(), "DES" );
c.init( Cipher.ENCRYPT_MODE, k );
try ( OutputStream cos = new CipherOutputStream( out, c ) ) {
cos.write( bytes );
}
}
static byte[] decode( InputStream is, String pass )
throws GeneralSecurityException, IOException {
Cipher c = Cipher.getInstance( "DES" );
Key k = new SecretKeySpec( pass.getBytes(), "DES" );
c.init( Cipher.DECRYPT_MODE, k );
ByteArrayOutputStream bos = new ByteArrayOutputStream( 1024 );
try ( CipherInputStream cis = new CipherInputStream( is, c ) ) {
for ( int b; (b = cis.read()) != -1; )
bos.write( b );
}
return bos.toByteArray();
}
public static void main( String[] args ) throws Exception {
ByteArrayOutputStream out = new ByteArrayOutputStream();
encode( "Das wird anders werden".getBytes(), out, "01234567" );
byte[] encoded = out.toByteArray();
String s = new BigInteger( encoded ).toString( 16 );
System.out.println( s );
byte[] decoded = new BigInteger( s, 16 ).toByteArray();
InputStream is = new ByteArrayInputStream( decoded );
System.out.println( new String( decode( is, "01234567" ) ) );
}
}
Unsere Methoden encode(…) und decode(…) leiten eine GeneralSecurityException an den Aufrufer weiter, eine Basisklasse von NoSuchAlgorithmException und NoSuchPaddingException; das sind zwei Ausnahmen, die der Cipher auslöst.
