Discussion :

[HommeDeJava]

Chiffrement RSA - Problème avec des caractères accentués

Bonjour,

Novice dans l'utilisation de RSA, j'ai développé une petite fonction de chiffrement de mots de passe qui ne fonctionne pas quand le mot de passe contient des caractères accentués. Évidemment, il y a un moyen simple de « contourner » le problème en remplaçant systématiquement les caractères accentués côté serveur et côté client, mais ce n'est pas très propre et j'aimerais comprendre.

J'imagine qu'il s'agit d'un problème d'encodage. Cependant, je ne trouve pas l'endroit précis où je dois spécifier UTF-8 dans les bibliothèques Bountycastle du côté client et java.security.* du côté serveur.

Je vois des tonnes de classes pour transformer les chaînes en HEX ou en Base64, faire de l'encodage (encodings) et faire du remplisssage (padding)... J'y comprends rien.

Est-ce que cela pourrait m'aider?

Merci

[tchize_]

Si vous commenciez par nous montrer le code qui pose problème?

[Marco46]

Il est fortement déconseillé de coder des trucs maisons exotiques pour tout ce qui touche à la sécurité des applications.

Il existe des méthodologies et des mécanismes largement éprouvés pour faire tout cela.

Par exemple pour protéger un mot de passe dans une base de données (ou un fichier de config) il y a la norme PBKDF2.

Cf ce thread en autre.

[HommeDeJava]

Si vous commenciez par nous montrer le code qui pose problème?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
private String encrypterMotDePasse(String motDePasse, ClePublique clePublique) {
 
    String motDePasseEncrypte = "";
    byte[] motDePasseEnBytes = null;
    if ( null != clePublique) {
 
        BigInteger modulo = new BigInteger(clePublique.getModulo());
        BigInteger pubExp = new BigInteger(clePublique.getExposant());
        RSAKeyParameters pubParameters = new RSAKeyParameters(false, modulo, pubExp);
 
        motDePasseEnBytes = motDePasse.getBytes();
 
        AsymmetricBlockCipher moteurCipher = new RSAEngine();
 
        moteurCipher.init(true, pubParameters);
 
        try {
 
            motDePasseEnBytes =
            moteurCipher.processBlock(motDePasseEnBytes,
            0, motDePasseEnBytes.length);
 
        }
        catch (Exception e) {
 
            displayStatus("Failed - exception " + e.toString(),"errorMsg");
 
        }
 
        motDePasseEncrypte = new String(motDePasseEnBytes);
 
    }
    return motDePasseEncrypte;
 
}

J'ai essayé en ajoutant des .getBytes("UTF-8") et des new String(motDePasseEnBytes,"UTF-8");
rien n'y fait...
[/SIZE]

[HommeDeJava]

En cherchant sur le Web pour régler mon problème, j'ai trouvé un très bon article sur le sujet (Cryptography with International Character Sets)l et aussi (Storing and representing ciphertext)

Règle 1: Un code chiffré n'est pas du texte! (Ciphertext is not text!)

Règle 2: Travailler avec des bytes pas des chaînes de textes ("Work with bytes not text strings")

Règle 3: Ne jamais mettre des bytes chiffrés directement dans une chaîne de texte ("Do not put ciphertext bytes directly into a string type")

J'ai aussi compris pourquoi utiliser l'encodage BASE64 ou HEX pour transférer les données chiffrées entre les plateformes. : « Store ciphertext either as a raw binary file or convert it to base64 or hexadecimal format.»

Mon problème n'est pas encore réglé, mais j'ai des pistes sérieuses...

Remarquez que j'avais déjà essayé de convertir mes bytes chiffrés en HEX mais sans grand succès, puis j'ai abandonné... Probablement que j'avais un problème ailleurs.

Le seul problème que je vois avec ces deux excellents articles, c'est qu'ils contiennent du code en C, en C++, en C# et en VB.NET, VB6 et même VBA MAIS PAS UNE LIGNE DE JAVA... à n'en pas douter ils émanent d'un disciple du grand Bill... Dommage!

Je vous tiens informé de mes progrès... à moins que le manque de temps ne m'oblige à filtrer / remplacer les caractères multibytes. Dans ce cas, honte sur moi!

[HommeDeJava]

private String encrypterMotDePasse(String motDePasse, ClePublique clePublique) {

String motDePasseChiffreStringHex = "";

// Conversion du mot de passe du format String => bytes[]
byte[] motDePasseEnBytes = motDePasse.getBytes();

if ( null != clePublique) {

// Initialisation du moteur de chiffrement
BigInteger modulo = new BigInteger(clePublique.getModulo());
BigInteger pubExp = new BigInteger(clePublique.getExposant());
RSAKeyParameters pubParameters = new RSAKeyParameters(false,
modulo, pubExp);
AsymmetricBlockCipher moteurDeChiffrement = new RSAEngine();

moteurDeChiffrement.init(true, pubParameters);

// Chiffrement du mot de passe
byte[] motDePasseChiffreEnBytes = null;
try
{

motDePasseChiffreEnBytes =

moteurDeChiffrement.processBlock(motDePasseEnBytes,

0,motDePasseEnBytes.length);

}
catch (Exception e)
{

displayStatus("Failed - exception " + e.toString(),"errorMsg");

}

// Conversion mot de passe chiffre de bytes[] vers bytes[] Hex

byte[] motDePasseChiffreEnBytesHex =

Hex.encode(motDePasseChiffreEnBytes);

// Conversion mot de passe chiffre de bytes[] Hex vers String

Hex motDePasseChiffreStringHex = new

String(motDePasseChiffreEnBytesHex);

}
return motDePasseChiffreStringHex;

}

[tchize_]

quand tu convertis des String en byte[] ou l'inverse, précise TOUJOURS l'encodage à utiliser, sinon tu aura de sales surprises à l'avenir.

[Marco46]

J'ai beaucoup de mal à comprendre l'intérêt de ton machin. C'est pour t'amuser personnellement ou c'est dans un contexte professionnel ?

On ne chiffre avec RSA que des clefs privées (dites aussi clefs de session) dans le but de réaliser un échange. Pour chiffrer des mots de passes, il y a des mécanismes très précis dont j'ai donné le lien dans mon post précédent.

[HommeDeJava]

Il faut voir « mon machin » comme un exercice simple de cryptographie asymétrique, ou cryptographie à clé publique. Tu sais les machins avec Bob et Alice... qu'on apprend à l'université.

[Marco46]

Il faut voir « mon machin » comme un exercice simple de cryptographie asymétrique, ou cryptographie à clé publique. Tu sais les machins avec Bob et Alice... qu'on apprend à l'université.

Dans ce cas procures-toi ce livre. Tu verras c'est de la bombe. Tu peux télécharger ici les sources utilisées dans le livre où tu trouveras des exemples concrets d'utilisation de RSA.

[HommeDeJava]

Merci Marco!

Dans ce cas procures-toi ce livre. Tu verras c'est de la bombe. Tu peux télécharger ici les sources utilisées dans le livre où tu trouveras des exemples concrets d'utilisation de RSA.

Génial! Tout comme la citation de Kenneth E. Boulding