java - SAML RSA 和 AES 解密 - 末尾的随机垃圾字节

Question

SAML XML 响应由我们的 Gluu/Shibboleth 服务器使用我的公共(public)证书加密。我已经阅读了规范，并在 Stackoverflow 的帮助下实现了解决方案。但是，解密后，我在最后得到了随机字符。

SAML 响应使用 RSA-ECB/MGF1 编码的 AES-128-CBC key 。因此，首先我必须解码 AES key (字节)，然后使用该 AES key 解密 XML 响应。

这是我的代码:

public static void main(String[] args) throws Exception {
    Path p = Paths.get("C:\\Users\\jj\\Desktop\\myPrivateKey.key");
    String encryptedAESKey = "FUZLPtkLSUgOo0bETQ5hwP1OWNggGlWhG+Z......wF1G6twRjg=="; // from XML
    byte[] aesKey = decryptWithPem("RSA/ECB/OAEPwithSHA1andMGF1Padding", "RSA", Util.base64DecodeAsBytes(encryptedAESKey), p);
    String encryptedXML = "YfJu7h4Id09hpuoqthl3Ks/JqhIXm.....amb24JZu7cJZT3cEO2a2U6qi0VCyoXQ=";
    byte[] decryptedData = decrypt("AES/CBC/NoPadding", "AES", Util.base64DecodeAsBytes(encryptedXML), aesKey);
    for(int i = decryptedData.length - 20; i < decryptedData.length; i++) {
        System.out.println("i: " + i + " -> " + decryptedData[i]); // print last 20 bytes
    }
    System.out.println(new String(decryptedData)); // prints <saml2:Assertion xmlns:saml2="urn:oasis:names:........</saml2:Assertion>�G{A

}

注意打印语句中的随机字节!最后一行打印:

<saml2:Assertion xmlns:saml2="urn:oasis:names:........</saml2:Assertion>�G{A

我意识到消息中的前 16 个字节是 IV，所以我将它们从消息中删除(从消息开头去除垃圾)。但现在我在消息末尾随机得到 5 个字节。这些字节是:

i: 1931 -> -120
i: 1932 -> 71
i: 1933 -> 123
i: 1934 -> 65
i: 1935 -> 5

其他功能:

public static byte[] decryptWithPem(String alg, String pemAlg, byte[] encryptedData, Path pemPath) {
    try {
        Cipher cipher = Cipher.getInstance(alg, "BC");
        cipher.init(Cipher.DECRYPT_MODE, loadPrivateKey(pemPath, pemAlg));
        return cipher.doFinal(encryptedData);
    } catch (Exception e) {
        throw new RuntimeException(e);
    }
}

private static PrivateKey loadPrivateKey(Path keyPath, String alg) {
    try {
        byte[] keyData = Util.base64DecodeAsBytes(IOUtil.fileToString(keyPath).replaceAll("\\s", ""));
        KeyFactory keyFactory = KeyFactory.getInstance(alg);
        EncodedKeySpec privateKeySpec = new PKCS8EncodedKeySpec(keyData);
        return keyFactory.generatePrivate(privateKeySpec);
    } catch(NoSuchAlgorithmException | InvalidKeySpecException e) {
        throw new RuntimeException(e);
    }
}

private static SecretKeySpec getSecretKeySpec(String alg, byte[] key) {
    return new SecretKeySpec(key, alg);
}

public static byte[] decrypt(String alg, String keyAlg, byte[] dataToDecrypt, byte[] key) {
    try {
        Cipher cipher = Cipher.getInstance(alg, "BC");
        cipher.init(Cipher.DECRYPT_MODE, getSecretKeySpec(keyAlg, key), new IvParameterSpec(dataToDecrypt, 0, 16));
        return cipher.doFinal(Arrays.copyOfRange(dataToDecrypt, 16, dataToDecrypt.length));
    } catch (Exception e) {
        throw new RuntimeException(e);
    }
}

我正在使用充气城堡。 如果我使用 PKCS7 填充，我会收到有关错误填充的错误消息。

AES key 的加密方式:http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p , http://www.w3.org/2000/09/xmldsig#sha1 . XML数据加密方式:http://www.w3.org/2001/04/xmlenc#aes128-cbc .

消息是否可能是随机填充的？

------ 编辑 ------

似乎该规范使用 ISO 10126 填充，使用“AES/CBC/ISO10126Padding”而不是“AES/CBC/NoPadding”。

Answer 1

Is it possible the message is randomly padded?

是的，详见 Padding section它通过说问号可以是任何值来使用随机填充，但最后一个字节表示填充的长度。他们的示例:0x2122232425262728??????????????08。

这实际上是ISO 10126 padding您可以通过查看最后一个字节轻松删除它:

byte[] pp = cipher.doFinal(Arrays.copyOfRange(dataToDecrypt, 16, dataToDecrypt.length));
return Arrays.copyOf(pp, pp.length - pp[pp.length-1]);

请注意，如果您自己处理填充，则必须在 alg 中使用 NoPadding。