javax.crypto.AEADBadTagException: несоответствие тега!Ошибка при шифровании строки

Question

Я написал простой класс помощника для шифрования и дешифрования для моего приложения для Android для безопасного шифрования и хранения строк.

Он состоит из одного статического открытого метода для шифрования, затем он вызывает закрытый статический метод для расшифровки зашифрованного сообщения и возвращает его. Я написал метод таким образом, чтобы проверить, не повреждено ли сообщение после шифрования / дешифрования.

Я написал простой тест JUnit со строкой и назвал AssertEquals для строки до и после отправки его в метод шифрования Crypto.

Я получаю следующие ошибки при запуске теста:

javax.crypto.AEADBadTagException: Tag mismatch!

стек ошибок:

at com.sun.crypto.provider.GaloisCounterMode.decryptFinal(GaloisCounterMode.java:571)
at com.sun.crypto.provider.CipherCore.finalNoPadding(CipherCore.java:1046)
at com.sun.crypto.provider.CipherCore.doFinal(CipherCore.java:983)
at com.sun.crypto.provider.CipherCore.doFinal(CipherCore.java:845)
at com.sun.crypto.provider.AESCipher.engineDoFinal(AESCipher.java:446)
at javax.crypto.Cipher.doFinal(Cipher.java:2165)
at util.Crypto.decrypt(Crypto.java:94)
at util.Crypto.encrypt(Crypto.java:64)
at com.example.ali.meappley.CryptoTest.encryptAndDecryptTest(CryptoTest.java:29)

Я новичок в криптографии, но я читаю разные ответы на вопросы stackoverflow и не могу найти ничего полезного. Некоторые пользователи предлагали позвонить cipher.update(someByteArray) перед вызовом cipher.doFinal(someByteArray), но мне не удалось заставить его работать. Есть предложения?

Это мой вспомогательный класс

public class Crypto {

//public methods

//public static encrypt method
public static String encrypt(String messageToEncrypt, @Nullable byte[] associatedData) throws NoSuchPaddingException,
        NoSuchAlgorithmException,
        InvalidAlgorithmParameterException,
        InvalidKeyException,
        BadPaddingException,
        IllegalBlockSizeException {

    byte[] plainBytes = messageToEncrypt.getBytes();
/////////////////////////////////////////////////////////////////
    SecureRandom secureRandom = new SecureRandom();
    byte[] key = new byte[16];
    secureRandom.nextBytes(key);
    SecretKey secretKey = new SecretKeySpec(key, "AES");

    byte[] iv = new byte[12]; //NEVER REUSE THIS IV WITH SAME KEY
    secureRandom.nextBytes(iv);

    final Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
    GCMParameterSpec parameterSpec = new GCMParameterSpec(128, iv); //128 bit auth tag length
    cipher.init(Cipher.ENCRYPT_MODE, secretKey, parameterSpec);

    if (associatedData != null) {
        cipher.updateAAD(associatedData);
    }

    byte[] cipherText = cipher.doFinal(plainBytes);

    ByteBuffer byteBuffer = ByteBuffer.allocate(4 + iv.length + cipherText.length);
    byteBuffer.putInt(iv.length);
    byteBuffer.put(iv);
    byteBuffer.put(cipherText);
    byte[] cipherMessage = byteBuffer.array();

    Arrays.fill(key,(byte) 0); //overwrite the content of key with zeros
    ///////////////////////////////////////////////////////////////////

    byte[] decrypted = decrypt(cipherMessage, null, key);

    return decrypted.toString();
}

//public static decrypt method
private static byte[] decrypt(byte[] cipherMessage, @Nullable byte[] associatedData, byte[] key) throws NoSuchPaddingException,
        NoSuchAlgorithmException,
        InvalidAlgorithmParameterException,
        InvalidKeyException,
        BadPaddingException,
        IllegalBlockSizeException {

    ByteBuffer byteBuffer = ByteBuffer.wrap(cipherMessage);
    int ivLength = byteBuffer.getInt();
    if(ivLength < 12 || ivLength >= 16) { // check input parameter
        throw new IllegalArgumentException("invalid iv length");
    }
    byte[] iv = new byte[ivLength];
    byteBuffer.get(iv);
    byte[] cipherText = new byte[byteBuffer.remaining()];
    byteBuffer.get(cipherText);

    final Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
    cipher.init(Cipher.DECRYPT_MODE, new SecretKeySpec(key, "AES"), new GCMParameterSpec(128, iv));
    if (associatedData != null) {
        cipher.updateAAD(associatedData);
    }

    cipher.update(cipherText);
    byte[] plainText= cipher.doFinal(cipherText);

    return plainText;
}

Answer 1

Есть несколько проблем с вашим кодом:

1) В вашем методе шифрования удалите следующую строку (или сдвиньте ее за вызов дешифрования).

 Arrays.fill(key, (byte) 0); // overwrite the content of key with zeros

В противном случае ключи для шифрования и дешифрования различаются.

2) В вашем методе шифрования также передайте связанные данные в вызове дешифрования, т.е. замените

 byte[] decrypted = decrypt(cipherMessage, null, key);

с

 byte[] decrypted = decrypt(cipherMessage, associatedData, key);

Связанные данные, переданные для шифрования и дешифрования, должны соответствовать действительности. Для целей связанных данных см., Например, https://crypto.stackexchange.com/questions/6711/how-to-use-gcm-mode-and-associated-data-properly

3) В вашем методе дешифрования удалите строку

 cipher.update(cipherText);

Для целей метода обновления см., Например, Что делает cipher.update в Java?

Все три проблемы приводят к исключению AEADBadTagException.

4) Я подозреваю, что для целей тестирования ваш метод encrypt возвращает decrypted.toString (), который, однако, дает только класс объекта и хэш-код. Было бы больше смысла вернуть, например, новая строка (расшифрованная).