【Java教程】Day14-07 加密与安全：密钥交换算法——基于Diffie-Hellman的安全通信实现

本文链接：https://blog.youkuaiyun.com/max202011161630/article/details/144835857

在前面的内容中，我们讲解了对称加密算法（如AES）如何保护数据的安全。但即便如此，仍然存在一个重要的问题：如何在不安全的信道上传递加密所需的密钥？

这篇文章将通过Diffie-Hellman（DH）算法来解决这一问题。DH算法是一个基于数学理论的密钥交换协议，它允许两个通信方在没有直接传递密钥的情况下，通过不安全的信道协商出一个共同的密钥。接下来，我们将通过实际的代码示例，帮助你了解DH算法的原理以及如何在Java中实现它。

1. 为什么需要密钥交换？

假设小明要向路人甲发送一个加密文件，他首先生成一个AES密钥，对文件进行加密，然后发送加密后的文件。但如果对方需要解密文件，就需要获取小明的AES密钥。

1.1 问题：

如何在不安全的信道中安全地传递这个密钥？

1.2 解决方案：

密钥交换算法，特别是Diffie-Hellman算法，提供了一种数学方式，在不直接传递密钥的情况下，实现双方协商出一个共同的密钥。

2. Diffie-Hellman密钥交换算法原理

Diffie-Hellman算法允许两个通信方在不安全的信道上传递信息，从而让双方独立地生成一个共同的密钥。其过程如下：

2.1 步骤：

选择一个素数和原根：双方首先约定一个素数p和原根g。这些数字是公开的。
私钥生成：
- 甲选择一个随机私钥a。
- 乙选择一个随机私钥b。
生成公钥：
- 甲计算A = g^a mod p，然后将A发送给乙。
- 乙计算B = g^b mod p，然后将B发送给甲。
计算共享密钥：
- 甲收到乙的公钥后，计算S = B^a mod p。
- 乙收到甲的公钥后，计算S = A^b mod p。
- 由于数学特性，甲和乙计算出来的S是相同的，这个值就是共享密钥。

2.2 关键点：

共享密钥：S = A^b mod p = B^a mod p，这两者的结果是相同的，但S并没有通过信道传输。
安全性：即使中间人截获了A、B、p和g，也无法计算出共享密钥，因为计算A^b mod p和B^a mod p非常困难。

3. Diffie-Hellman算法的Java实现

我们将在Java中实现Diffie-Hellman算法，模拟两位通信者——Alice和Bob——如何生成共享密钥。以下是具体的代码实现：

3.1 完整代码示例

javaimport java.security.*;import java.security.spec.*;import javax.crypto.KeyAgreement;import java.util.HexFormat;public class Main {    public static void main(String[] args) {        // Bob和Alice实例化：        Person bob = new Person("Bob");        Person alice = new Person("Alice");        // 生成各自的密钥对：        bob.generateKeyPair();        alice.generateKeyPair();        // 双方交换公钥并生成共享密钥：        bob.generateSecretKey(alice.publicKey.getEncoded());        alice.generateSecretKey(bob.publicKey.getEncoded());        // 打印双方的密钥对，验证生成的密钥相同：        bob.printKeys();        alice.printKeys();    }}class Person {    public final String name;    public PublicKey publicKey;    private PrivateKey privateKey;    private byte[] secretKey;    public Person(String name) {        this.name = name;    }    // 生成本地密钥对    public void generateKeyPair() {        try {            KeyPairGenerator kpGen = KeyPairGenerator.getInstance("DH");            kpGen.initialize(512);  // DH算法使用的位数，通常为512或更高            KeyPair kp = kpGen.generateKeyPair();            this.privateKey = kp.getPrivate();            this.publicKey = kp.getPublic();        } catch (GeneralSecurityException e) {            throw new RuntimeException(e);        }    }    // 根据接收到的公钥生成共享密钥    public void generateSecretKey(byte[] receivedPubKeyBytes) {        try {            // 从byte数组恢复PublicKey            X509EncodedKeySpec keySpec = new X509EncodedKeySpec(receivedPubKeyBytes);            KeyFactory kf = KeyFactory.getInstance("DH");            PublicKey receivedPublicKey = kf.generatePublic(keySpec);            // 使用本地私钥和接收到的公钥生成共享密钥            KeyAgreement keyAgreement = KeyAgreement.getInstance("DH");            keyAgreement.init(this.privateKey);  // 使用自己的私钥            keyAgreement.doPhase(receivedPublicKey, true);  // 使用对方的公钥            this.secretKey = keyAgreement.generateSecret();        } catch (GeneralSecurityException e) {            throw new RuntimeException(e);        }    }    // 打印密钥对和共享密钥    public void printKeys() {        System.out.println("Name: " + this.name);        System.out.println("Private key: " + HexFormat.of().formatHex(this.privateKey.getEncoded()));        System.out.println("Public key: " + HexFormat.of().formatHex(this.publicKey.getEncoded()));        System.out.println("Secret key: " + HexFormat.of().formatHex(this.secretKey));    }}