使用Bouncy Castle API加密和解密

15.3.2　使用Bouncy Castle API加密和解密

Bouncy Castle API通过加密引擎（位于org.bouncycastle.crypto.引擎中）来提供密码实现，这些引擎实现了特定的接口，比如 AsymmetricBlockCipher、BlockCipher或StreamCipher（所有这些接口都可以在 org.bouncycastle.crypto包中找到）。这些接口都具有一个共同的用途：它们让你初始化密码，以字节数组的形式提供要被加密或解密的 数据（既可以以块的形式也可以作为消息流的一部分提供），然后执行加密或解密操作。与使用JCA和SATSA-CRYPTO API一样，当初始化一个密码实现时，你指定想要该实现执行加密还是解密，以及操作中要使用的密钥细节。使用Bouncy Castle API通过RC4算法执行加密，可以编写如代码清单15-6所示的代码。

代码清单15-6　使用Bouncy Castle API执行RC4加密

 

与生成消息摘要时一样，Bouncy Castle API的接口在概念上类似于JCA和SATSA-CRYPTO API，但并不完全相同。再一次，直接实例化引擎，而不是使用一个工厂创建想要的密码引擎。通过类似方法初始化生成的引擎，指定想要引擎进行加密（传递 true）还是解密（传递false），以及引擎的init方法的一些选项。最后，将要加密或解密的字节传递给引擎以供处理。引擎接受你想要其处理的字节 的方式取决于它实现的是块密码还是流密码。使用processBlock方法将字节传递给块密码或非对称块密码，每次传递一个完整的块。可以调用 getBlockSize方法来确定块密码的块大小，或分别调用getInputBlockSize和getOutputBlockSize方法来确定非 对称块密码的输入块和输出块的大小。使用processBytes方法将字节传递给流密码。

无论处于哪种情形，密码引擎都会将结果返回给你调用的方法以供处理。此方法可能抛出多个异常中的一个，如果数据数组的长度无效，则抛出DataLengthException，或者如果初始化密码失败，则抛出IllegalStateException。

此示例使用RC4算法（一种安全性相对较弱的算法），但Bouncy Castle API中还包含许多有其他支持的密码算法。与SATSA-CRYPTO API不同，这些算法可同时针对对称和非对称密码进行实现，因此，同时需要公钥密码的加密和解密功能的应用程序可使用Bouncy Castle API获益，而使用SATSA-CRYPTO API则不能实现此目的。

除了支持许多不同密码算法，Bouncy Castle API还为其支持的密码提供了密钥生成算法。这是该API的一个重要特性，因为在编写应用程序时，安全的密钥生成和分发至关重要。 org.bouncycastle.crypto.generators包含的类中包括受支持的密码的生成器；创建密钥只需创建合适的生成器并调用一个方 法。例如，要为DES创建一个随机密钥，可以编写代码清单15-7中所示的代码。

代码清单15-7　生成随机密钥

 

一些密钥生成器必须首先进行初始化，因此需要确保检查了所选的密码系统和密钥生成器的文档。这些密钥生成器通常提供了公钥密码算法的密钥，其中包括两个密钥（一个是分发给其他团体的公钥，另一个是用于解密的私钥），这两个密钥分别用于消息加密和解密。

注意 尽管安全密钥生成是Bouncy Castle API提供的一个重要功能，但仅适用该功能还远远不够。应用程序使用其密钥的方式与创建密钥的方式同样重要；弱存储或交换（比如通过不安全的网络通道共享对称密码算法的密钥）抵消了出色的密钥生成算法的强大作用。

 

原文地址：http://book.51cto.com/art/200908/145125.htm[转载]