Javaで認証された暗号化を実行する適切な方法は何ですか？

Question

認証された暗号化では、メッセージの暗号化と認証にいくつかの標準を使用する必要があります。そこで我々は、メッセージを暗号化し、改ざんされていないことを確認するためにメッセージ上のMACを計算する。

This questionは、パスワードベースの鍵の強化と暗号化を実行する方法について概説：

/* Derive the key, given password and salt. */ 
SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1"); 
KeySpec spec = new PBEKeySpec(password, salt, 65536, 256); 
SecretKey tmp = factory.generateSecret(spec); 
SecretKey secret = new SecretKeySpec(tmp.getEncoded(), "AES"); 
/* Encrypt the message. */ 
Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding"); 
cipher.init(Cipher.ENCRYPT_MODE, secret); 
AlgorithmParameters params = cipher.getParameters(); 
byte[] iv = params.getParameterSpec(IvParameterSpec.class).getIV(); 
byte[] ciphertext = cipher.doFinal("Hello, World!".getBytes("UTF-8")); 

をしかし、私の知る限り、これは暗号文に任意のMACを計算していないので、安全ではないだろう。 Javaで認証された暗号化を実行するために受け入れられる標準は何ですか？

Answer 1

GCMモード暗号化の使用をおすすめします。これはデフォルトで最新のJDK（1.7）に含まれています。これは、カウンタモードの暗号化（ストリーム暗号、パディングなし）を使用し、認証タグを追加します。大きな利点の1つは、HMACが別のキーをミックスに追加するのに対し、単一のキーだけを必要とすることです。 Bouncy Castleには実装もあり、Oracleが提供するものと互換性があります。

GCMモードの暗号化は、TLS RFCの機能でもあり、XML暗号化1.1の機能（どちらも最終的ではありません）です。 GCMモードでは、データの機密性、完全性、信頼性の3つのセキュリティ機能がすべて提供されます。ストリングは、現在展開しているCBCの代わりに "AES/GCM/NoPadding"になります。 Oracleから最新のJDKを入手しているか、またはBouncy Castleプロバイダをインストールしていることを確認してください。

また、私の答えはhereです。これは主に文字列エンコーディングに関するものですが、私もGCMモードも試みました。コメントを参照してください。

Answer 2

セキュリティで保護されたftpを使用してあるサーバーから別のサーバーにファイルを転送するとき、私は「差出人」サーバーにある秘密キーと「to」サーバーにある公開キーとを使用します。

秘密鍵と公開鍵のペアを使用することは、ファイルを転送する際の安全な標準です。

私はそれがJavaアプリケーションの文脈では安全な手段であると信じています。

Javaのデジタル署名のプライベート/公開鍵ペアの設定の詳細については、Generating and Verifying SignaturesとGenerate Public and Private Keys を参照してください。