本文旨在解决PHP使用AES/GCM/128加密的数据在Java端解密时遇到的AEADBadTagException问题。通过分析PHP的加密机制,我们提供了一套正确的Java解密实现,详细阐述了密钥处理、IV(初始化向量)与认证标签(Tag)的提取方法,确保跨语言加密互通的准确性和安全性。
1. 问题背景与挑战
在php和java等不同编程语言之间实现aes/gcm/128加密数据的互通解密,常见挑战在于对加密参数(如密钥、iv、认证标签)的理解和处理方式不一致。原始的java解密尝试在处理由php加密的数据时,抛出了javax.crypto.aeadbadtagexception: tag mismatch!异常。这通常意味着解密过程中,认证标签未能成功验证,可能是由于密钥、iv、密文或认证标签本身在传输或解析时出现错误。
导致此问题的主要原因通常包括:
密钥派生不一致: PHP直接将十六进制字符串密钥转换为二进制使用,而Java可能错误地尝试通过PBKDF2等方式派生密钥。IV和认证标签的结构: PHP在加密后,将IV、密文和认证标签以特定的顺序(通常是IV | 密文 | 标签)拼接,并进行Base64编码。Java需要准确地反向解析此结构。GCM参数设置: GCM模式需要指定认证标签的长度(通常为128位,即16字节)。
2. PHP加密机制分析
首先,我们分析PHP的aes_gcm_encrypt函数,以理解其加密流程和输出格式:
从上述PHP代码中,我们可以得出以下关键信息:
算法: aes-128-gcm,即AES-128位GCM模式,无填充。密钥: $secret是一个十六进制字符串,PHP通过hex2bin直接将其转换为16字节的二进制密钥使用。IV长度: 12字节。认证标签长度: 16字节(GCM模式默认)。输出格式: 最终的Base64编码字符串实际上代表了 IV_二进制 | 密文_二进制 | 标签_二进制 的拼接结果。这是因为PHP先将IV、密文、标签转换为各自的十六进制表示,再拼接成一个大的十六进制字符串,最后通过hex2bin将其还原为原始的二进制字节流,并进行Base64编码。
3. Java解密实现
基于对PHP加密机制的理解,我们构建了以下正确的Java解密代码。该代码能够准确解析PHP的加密输出,并成功解密。
立即学习“PHP免费学习笔记(深入)”;
import java.nio.charset.StandardCharsets;import java.util.Base64;import javax.crypto.*;import javax.crypto.spec.*;public class AesGcmPhpJavaInterop { public static final String ALGO = "AES"; public static final String GCM_ALGO = "AES/GCM/NoPadding"; public static final int IV_LENGTH = 12; // PHP openssl_cipher_iv_length('aes-128-gcm') 结果是 12 public static final int GCM_TAG_LENGTH_BITS = 128; // GCM认证标签长度,128位 = 16字节 public static void main(String[] args) throws Exception { // PHP加密输出的示例数据 String secret = "544553544B4559313233343536"; // PHP使用的十六进制密钥 String encryptStr = "Fun3yZTPcHsxBpft+jBZDe2NjGNAs8xUHY21eZswZE4iLKYdBsyER7RwVfFvuQ=="; // PHP加密后的Base64字符串 // 格式化密钥以匹配PHP的16字节二进制密钥 secret = reformatSecret(secret); String decryptStr = decrypt(encryptStr, secret); System.out.println("加密字符串: " + encryptStr); System.out.println("解密密钥: " + secret); System.out.println("解密结果: " + decryptStr); } /** * 解密由PHP AES/GCM/128加密的数据 * @param data Base64编码的加密字符串 * @param secret 十六进制格式的密钥 * @return 解密后的明文字符串 * @throws Exception 解密过程中可能抛出的异常 */ private static String decrypt(String data, String secret) throws Exception { // 1. Base64解码:获取原始的二进制字节流 (IV_BIN | CT_BIN | TAG_BIN) final byte[] encryptedBytes = Base64.getDecoder().decode(data.getBytes(StandardCharsets.UTF_8)); // 2. 提取IV:前12字节为IV final byte[] initializationVector = new byte[IV_LENGTH]; System.arraycopy(encryptedBytes, 0, initializationVector, 0, IV_LENGTH); // 3. 准备密钥:将十六进制密钥字符串转换为字节数组 final byte[] key = parseHexStr2Byte(secret); SecretKeySpec secretKeySpec = new SecretKeySpec(key, ALGO); // 4. 设置GCM参数:指定认证标签长度和IV GCMParameterSpec gcmParameterSpec = new GCMParameterSpec(GCM_TAG_LENGTH_BITS, initializationVector); // 5. 初始化Cipher进行解密 Cipher cipher = Cipher.getInstance(GCM_ALGO); cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, gcmParameterSpec); // 6. 执行解密:从IV之后开始解密,GCM模式会自动从传入的密文数据中提取并验证标签 // encryptedBytes.length - IV_LENGTH 表示密文和标签的总长度 byte[] decryptedBytes = cipher.doFinal(encryptedBytes, IV_LENGTH, encryptedBytes.length - IV_LENGTH); // 7. 将解密后的字节数组转换为字符串 return new String(decryptedBytes, StandardCharsets.UTF_8); } /** * 格式化密钥字符串,确保其为32个十六进制字符(16字节) * 如果密钥不足32字符,则在末尾填充'0';如果超过32字符,则截取前32字符。 * PHP的AES-128需要16字节密钥,即32个十六进制字符。 * @param secret 原始十六进制密钥字符串 * @return 格式化后的十六进制密钥字符串 */ public static String reformatSecret(String secret) { if (secret == null || secret.length() < 1) { return ""; } int secretLen = secret.length(); if (secretLen < 32) { StringBuilder str = new StringBuilder(secret); while (secretLen < 32) { str.append("0"); // 填充'0' secretLen = str.length(); } return str.toString(); } else { return secret.substring(0, 32); // 截取前32字符 } } /** * 将十六进制字符串转换为字节数组 * @param hexStr 十六进制字符串 * @return 对应的字节数组 */ public static byte[] parseHexStr2Byte(String hexStr) { int len = hexStr.length(); byte[] data = new byte[len / 2]; for (int i = 0; i < len; i += 2) { data[i / 2] = (byte) ((Character.digit(hexStr.charAt(i), 16) << 4) + Character.digit(hexStr.charAt(i+1), 16)); } return data; }}
4. 注意事项与最佳实践
密钥处理: 确保Java端密钥的生成或解析方式与PHP完全一致。本例中,PHP直接将十六进制字符串作为密钥的二进制表示。Java通过reformatSecret确保密钥长度为16字节,并通过parseHexStr2Byte将其转换为字节数组。切勿在Java端随意使用PBKDF2等密钥派生函数,除非PHP端也明确使用了相同的派生方式。IV和认证标签的提取: PHP的输出格式是Base64(hex2bin(IV_HEX | CT_HEX | TAG_HEX))。Java在Base64解码后,会得到一个原始的字节数组,其结构为IV_BIN | CT_BIN | TAG_BIN。IV总是位于最开始的12字节。GCM模式的认证标签长度通常为16字节(128位)。Java的GCMParameterSpec(128, initializationVector)会告知Cipher期望的标签长度。在调用cipher.doFinal()时,我们传入encryptedBytes中从IV之后开始的部分(即CT_BIN | TAG_BIN),Java的GCM Cipher会自动从这部分数据的末尾提取并验证认证标签。字符编码: 在PHP和Java之间传递字符串时,始终指定统一的字符编码,如UTF-8,以避免乱码问题。本例中,Java使用了StandardCharsets.UTF_8。异常处理: AEADBadTagException是GCM模式中非常常见的异常,它明确指出认证标签验证失败。这意味着解密过程中密钥、IV、密文或标签的任何一个环节出现不匹配,都会导致此异常。排查时应逐一检查这些参数。安全性: IV必须是随机且唯一的,但不需要保密。密钥必须严格保密。GCM模式提供了数据机密性(加密)和数据完整性与认证(通过标签)。
5. 总结
实现跨语言的加密互通,核心在于对加密算法、模式、密钥、IV和认证标签的精确理解和一致处理。本教程通过详细分析PHP的AES/GCM/128加密流程,并提供了一个经过验证的Java解密实现,解决了常见的AEADBadTagException问题。遵循文中给出的密钥处理、IV/标签提取以及GCM参数设置方法,可以确保PHP与Java之间AES/GCM加密数据的可靠互通。
以上就是PHP与Java之间AES/GCM/128加密互通解密指南的详细内容,更多请关注php中文网其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1320644.html
微信扫一扫 
支付宝扫一扫 
