java - RSA 我应该使用 X.509 还是 PKCS #1

Question

用例:我有一个用例，其中客户端生成私钥和公钥，并将 Base 64 编码的公钥发送到服务器。

在服务器端，我将使用此公钥加密消息并将加密的消息发送到客户端，客户端使用其私钥解密该消息。商定的算法是“RSA”。

问题出在服务器端，我发现某些 key 正在使用 X509EncodedKeySpec 作为 key 规范

byte[] publicBytes = Base64.decodeBase64(base64EncodedPubKey);
X509EncodedKeySpec keySpec = new X509EncodedKeySpec(publicBytes);
KeyFactory keyFactory = KeyFactory.getInstance("RSA");
PublicKey pubKey = keyFactory.generatePublic(keySpec);

虽然某些键使用X509EncodedKeySpec抛出异常(由:java.security.InvalidKeyException:IOException:algid解析错误，不是序列引起)，但使用 RSAPublicKeySpec:

byte[] publicBytes = Base64.decodeBase64(base64EncodedPubKey);
org.bouncycastle.asn1.pkcs.RSAPublicKey.RSAPublicKey pkcs1PublicKey = org.bouncycastle.asn1.pkcs.RSAPublicKey.RSAPublicKey.getInstance(publicBytes);
BigInteger modulus = pkcs1PublicKey.getModulus();
BigInteger publicExponent = pkcs1PublicKey.getPublicExponent();
RSAPublicKeySpec keySpec = new RSAPublicKeySpec(modulus, publicExponent);
KeyFactory keyFactory = KeyFactory.getInstance("RSA");
PublicKey pubKey = keyFactory.generatePublic(keySpec);

所以，我了解到客户端和服务器需要就是否使用达成一致:PKCS #1 或 X.509 用于对 key 进行编码。 我的问题是哪一种更适合我的用例？ 何时使用哪种格式有任何指导原则吗？

Answer 1

差别很小。 Java 调用 X.509 的 key 格式，更准确地称为 X.509 中定义的 ASN.1 结构 SubjectPublicKeyInfo(或 SPKI)或者在 RFC5280 sec 4.1 中同等且更方便地，是处理大量灵活算法的一种非常简单的方法:它由一个子结构AlgorithmIdentifier组成，用于标识算法及其参数(如果适用)，然后是一个包含实际关键信息的不透明位字符串(编码)格式取决于算法标识符(识别的算法)。

对于 RSA，算法相关部分是 PKCS1 中定义的 ASN.1 结构 RSAPublicKey 或更方便地 RFC8017 appendix A.1.1及其早期版本，并在 RFC3279 sec 2.3.1 中重复。因此，对于 RSA，X.509 (SPKI) 格式包含 PKCS1 格式，并且由于 RSA 没有参数(或至少与 key 相关的参数)，唯一真正的区别是 X.509 (SPKI) 格式包含 PKCS1 格式。 509 格式明确指定 key 是 RSA——您在应用程序中已经知道该 key 。

您已经发现，vanilla(Oracle-was-Sun-now-OpenJDK)Java 加密，又名 JCA Java 加密架构，直接仅支持 X.509 (SPKI) 格式，这是一个小优势。但是，如果您使用 BouncyCaSTLe，那么来回转换比 Q 中的代码要容易得多；您只需使用 org.bouncycaSTLe.asn1.x509.SubjectPublicKeyInfo 类来添加或丢弃 AlgorithmIdentifier:

    // test data source
    KeyStore ks = KeyStore.getInstance("JKS"); ks.load (new FileInputStream (args[0]), args[1].toCharArray());
    byte[] spkienc = ks.getCertificate(args[2]).getPublicKey().getEncoded();
    System.out.println (DatatypeConverter.printHexBinary(spkienc));

    // extract PKCS1 part of original SPKI
    byte[] pkcs1enc = SubjectPublicKeyInfo.getInstance(spkienc).parsePublicKey().getEncoded();
    System.out.println (DatatypeConverter.printHexBinary(pkcs1enc));

    // rebuild SPKI from the PKCS1
    AlgorithmIdentifier algid = new AlgorithmIdentifier(PKCSObjectIdentifiers.rsaEncryption, DERNull.INSTANCE);
    byte[] spki2enc = new SubjectPublicKeyInfo (algid, pkcs1enc).getEncoded();
    System.out.println (DatatypeConverter.printHexBinary(spki2enc));

查看我对类似问题的回答 golang x509.MarshalPKIXPublicKey vs x509.MarshalPKCS1PublicKey()特别是以下链接:
Converting A public key in SubjectPublicKeyInfo format to RSAPublicKey format java
Generating RSA keys in PKCS#1 format in Java
Problem transmiting a RSA public key, javaME , bouncy castle

如果你没有 BouncyCaSTLe，那就有点难了；您需要编写部分 ASN.1 解析器或生成器。完整的 ASN.1 处理相当复杂，但对于这种情况，您只需要一个还不错的小子集。 (是的，这是微弱的赞美。)如果我有更多时间，我可能会稍后添加这一点。

一个更大的潜在问题是您的 key 未经身份验证。公钥分发的困难部分比微小的格式细节更难，是确保仅合法 key 已分发。如果攻击者可以用他们的公钥替换正确的公钥，那么受害者就会以攻击者可以轻松读取的方式加密所谓的 secret 数据，并且所有花哨的加密代码都完全毫无值(value)。

这就是为什么大多数实际系统不分发裸公钥，而是分发允许验证 key 是否正确的证书。有一些证书方案，但迄今为止最广泛的是 X.509 及其 Internet 配置文件 PKIX——事实上，我上面引用的 RFC，5280 和 3279，都是 PKIX 的一部分。 SSL-now-TLS 使用 X.509。代码签名使用 X.509。 S/MIME 电子邮件使用 X.509。 (PGP/GPG 使用不同类型的证书，不是 X.509，但仍然是证书。)并且(vanilla)Java 直接支持 X.509 证书，与“X.509”(SPKI)公钥一样好甚至更好.