查找是否使用双倍长度或三倍长度的3DES

Question

我正在评审一个应用程序，我们应该检查加密算法和使用的密钥的强度。从我对代码的回顾中，我可以看出他们正在使用3DES算法，我从使用中提到的“DES/ECB/NoPadding”这一行中找到了算法。

不过在搜索加密后，我发现上面提到的加密只有56位的密钥大小。参考链接如下：

• http://docs.oracle.com/javase/7/docs/api/javax/crypto/Cipher.html

但是，应用程序开发人员说是，他们使用双长度3DES。有了上述数据，我们只能发现3DES已被使用，无法计算出密钥大小。该应用程序是用JAVA开发的。

有人可以帮我找出双倍长度或三倍长度3DES已被使用的方法吗？

（OR）

提供双倍长度或三倍长度的3DES实现细节？以便我们能够弄清楚在我的情况下可以使用什么。

Answer 1

如果他们使用的javax.crypto只有DES/ECB/NoPadding，那么他们没有使用3DES，他们使用DES。不仅如此，他们使用的是绝对不推荐的ECB。当然，他们可以用标准的DES来推出他们自己的“双倍长度3DES”（不管这意味着什么），但那是另一个警告信号。

P.S.如果你不得不在谷歌加密，为什么你甚至审查代码？你不知道代码是否安全，正如这个问题所证明的那样。

Answer 2

首先，我不是密码学方面的专家，所以请采取一些适中的答案。

什么是double length 3DES？

三重DES加密涉及具有双长（16字节）的密钥K =（K _大号一个 8字节密文块加密的8字节明文块||ķ_ř ）如下：
Y = DES3（K）[X] = DES（K _大号）[DES ^-1（K _ř）[DES（K _大号）[X]]]
解密发生如下：
X = DES ^-1（K _大号）[DES（K _ř）[DES ^-1（K _大号）[Y]]]

EMV 4.2: Book 2 - Security and Key Management从两者。

---

这里是一个将如何在Java中实现这一点：

import javax.crypto.Cipher; 
import javax.crypto.spec.SecretKeySpec; 

public class Test3DES { 
    public static void main(String[] args) throws Exception { 
     //byte length has to be mutiple of 8! 
     String plaintext = "Attack at dawn!!"; 
     byte[] plainBytes = plaintext.getBytes("UTF-8"); 
     byte[] encrypted = encrypt(plainBytes); 
     byte[] decrypted = decrypt(encrypted); 

     System.out.println("Original message: "); 
     System.out.printf("Text: %s%n", plaintext); 
     System.out.printf("Raw bytes: %s%n", toHexString(plainBytes)); 
     System.out.println("---"); 
     System.out.println("Encrypted message: "); 
     System.out.printf("Text: %s%n", new String(encrypted, "UTF-8")); 
     System.out.printf("Raw bytes: %s%n", toHexString(encrypted)); 
     System.out.println("---"); 
     System.out.println("Decrypted message: "); 
     System.out.printf("Text: %s%n", new String(decrypted, "UTF-8")); 
     System.out.printf("Raw bytes: %s%n", toHexString(decrypted)); 
    } 

    private static String toHexString(byte[] array) { 
     StringBuilder sb = new StringBuilder(); 
     for (byte b : array) { 
      sb.append(String.format("%02X ", b)); 
     } 
     return sb.toString(); 
    } 

    private static byte[] encrypt(byte[] message) throws Exception { 
     Cipher encr1, decr2, encr3; 
     SecretKeySpec kL, kR, tmp; 

     kL = new SecretKeySpec(new byte[] {0, 1, 2, 3, 4, 5, 6, 7}, "DES"); 
     kR = new SecretKeySpec(new byte[] {8, 9, 10, 11, 12, 13, 14, 15}, "DES"); 

     encr1 = Cipher.getInstance("DES/ECB/NoPadding"); 
     decr2 = Cipher.getInstance("DES/ECB/NoPadding"); 
     encr3 = Cipher.getInstance("DES/ECB/NoPadding"); 

     encr1.init(Cipher.ENCRYPT_MODE, kL); 
     decr2.init(Cipher.DECRYPT_MODE, kR); 
     encr3.init(Cipher.ENCRYPT_MODE, kL); 

     return encr3.doFinal(decr2.doFinal(encr1.doFinal(message))); 
    } 

    private static byte[] decrypt(byte[] message) throws Exception { 
     Cipher decr1, encr2, decr3; 
     SecretKeySpec kL, kR; 

     kL = new SecretKeySpec(
      new byte[] {0, 1, 2, 3, 4, 5, 6, 7}, 
      "DES" 
     ); 
     kR = new SecretKeySpec(
      new byte[] {8, 9, 10, 11, 12, 13, 14, 15}, 
      "DES" 
     ); 

     decr1 = Cipher.getInstance("DES/ECB/NoPadding"); 
     encr2 = Cipher.getInstance("DES/ECB/NoPadding"); 
     decr3 = Cipher.getInstance("DES/ECB/NoPadding"); 

     decr1.init(Cipher.DECRYPT_MODE, kL); 
     encr2.init(Cipher.ENCRYPT_MODE, kR); 
     decr3.init(Cipher.DECRYPT_MODE, kL); 

     return decr3.doFinal(encr2.doFinal(decr1.doFinal(message))); 
    } 
} 

输出：

Original message: 
Text: Attack at dawn!! 
Raw bytes: 41 74 74 61 63 6B 20 61 74 20 64 61 77 6E 21 21 
--- 
Encrypted message: 
Text: #�Jɚe�P�ϸ5�%t� 
Raw bytes: 23 B4 4A C9 9A 65 C5 50 90 CF B8 35 9A 25 74 A2 
--- 
Decrypted message: 
Text: Attack at dawn!! 
Raw bytes: 41 74 74 61 63 6B 20 61 74 20 64 61 77 6E 21 21 

---

因此，要回答你的问题 - 你正在寻找代码中16字节的密钥大小。在我的代码片段中，密钥由kL和kR组成，每个8字节，共16个。