ECDH in Java
Wie bereits angekündigt werde ich in den nächsten Wochen einige Aspekte asymmetrischer Kryptographie beschreiben. Der vorliegende Artikel zeigt die Implementierung einer Diffie Hellman Ellipctic Curve (ECDH) Key exchange.
Ich werde den Code, den ich zur Illustration verwende sehr nahe an TLS halten, möchte aber auch gleich darauf hinweisen, dass eine Key Exchange natürlich keinerlei Authentifizierung beinhaltet - dafür muss man (und TLS tut das) andere Mechanismen einbinden.
Ich benutze zur Illustration Code aus meinen online verfügbaren Bibliotheken, die wiederum auf der Implementierung des BouncyCastle-Projekts beruhen): Zunächst erstellen wir ein Schlüsselpaar für den Empfänger, dessen Public Key an den Sender der Nachricht übermittelt wird:
public static KeyPair generateKeyPair(java.lang.String curve, java.lang.String alg)
{
try
{
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(alg);
org.bouncycastle.asn1.x9.X9ECParameters ecParameters =
org.bouncycastle.crypto.ec.CustomNamedCurves.getByName(curve);
org.bouncycastle.jce.spec.ECParameterSpec ecSpec =
new org.bouncycastle.jce.spec.ECParameterSpec(ecParameters.getCurve(), ecParameters.getG(),
ecParameters.getN(), ecParameters.getH(), ecParameters.getSeed());
keyPairGenerator.initialize(ecSpec, new SecureRandom());
return keyPairGenerator.generateKeyPair();
}
catch (GeneralSecurityException var2)
{
throw new AssertionError(var2);
}
}
Dieser Code wird für den Empfänger mit entsprechenden Parametern aufgerufen (natürlich nur, wenn nicht bereits entsprechendes Schlüsselmaterial vorliegt) - also zum Beispiel
java.security.KeyPair recvkeyPair=
de.elbosso.util.security.Utilities.generateKeyPair("curve25519","ECDH");
Der Initiator der Key Exchange übermittelt seinen Public Key nun an den Kommunikationspartner und dieser erstellt daraus ein ephemeral Keypair:
public static java.security.KeyPair generateEphemerealKeyPair(ECKey recvpubKey) throws
InvalidAlgorithmParameterException, NoSuchAlgorithmException
{
java.security.KeyPairGenerator keyPairGenerator = java.security.KeyPairGenerator.getInstance("ECDH");
keyPairGenerator.initialize(recvpubKey.getParameters());
java.security.KeyPair keyPair = keyPairGenerator.generateKeyPair();
return keyPair;
}
Der Private Key dieses Keypair wird zusammen mit dem öffentlichen des Empfängers bzw. Initiators dazu verwendet, das Shared Secret zu erstellen:
public static javax.crypto.SecretKey generateSharedSecret(
java.security.PrivateKey privateKey, java.security.PublicKey publicKey) throws
NoSuchAlgorithmException, InvalidKeyException
{
javax.crypto.KeyAgreement keyAgreement = javax.crypto.KeyAgreement.getInstance("ECDH");
keyAgreement.init(privateKey);
keyAgreement.doPhase(publicKey, true);
javax.crypto.SecretKey key = keyAgreement.generateSecret("AES");
return key;
}
Nun sendet der Kommunikationspartner seinen Public Key an den Initiator, der wiederum aus seinem eigenen Private Key und diesem Public Key ebenfalls das Shared Secret erzeugen kann. Dieses kann nun benutzt werden, um damit verschlüsselte Botschaften in beide Richtungen zu versenden:
Cipher dcipher = Cipher.getInstance("AES");
dcipher.init(Cipher.ENCRYPT_MODE, shareedSecret);
byte[] ciphertext=dcipher.doFinal(message.getBytes());
Beziehungsweise:
Cipher dcipher = javax.crypto.Cipher.getInstance("AES");
dcipher.init(javax.crypto.Cipher.DECRYPT_MODE, shareedSecret);
byte[] clear = dcipher.doFinal(ciphertext);
.java
Artikel, die hierher verlinken
Asymmetrische Kryptographie
06.04.2026
Ich habe mich mit der Idee schon länger getragen: Nochmal einen Rundumschlag zu asymmetrischer Kryptographie zu machen. Dabei werde ich mich auf Demonstrationen der einzelnen Konzepte und Operationen mit Beispielcode konzentrieren und zu jedem der vorgestellten Konzepte mehr oder weniger ausführlich bezüglich der Einsatzszenarien und Vor- und Nachteile Stellung beziehen
Vor 5 Jahren hier im Blog
-
Linux Linkdump 2021 I
18.04.2021
Ein Linkdump rund um Linux (Container, Virtualisierung,...)
Weiterlesen
Tags
Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Hardware Java Jupyter JupyterBinder Komponenten Links Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...
Neueste Artikel
-
Asymmetrische Kryptographie
Ich habe mich mit der Idee schon länger getragen: Nochmal einen Rundumschlag zu asymmetrischer Kryptographie zu machen. Dabei werde ich mich auf Demonstrationen der einzelnen Konzepte und Operationen mit Beispielcode konzentrieren und zu jedem der vorgestellten Konzepte mehr oder weniger ausführlich bezüglich der Einsatzszenarien und Vor- und Nachteile Stellung beziehen
Weiterlesen -
Bullshit in Pressemitteilungen
Es ist ja nicht so, dass ich der Erste wäre, demn das auffällt - aber es ist schon bemerkenswert, dass inzwischen einfach alles als Nachricht verkauft wird, was irgendeine verwirrte Koksnase als Pressemitteilung rauswirft. In der letzten Woche ist die Frequenz allerdings in einem Maße angestiegen, dass ich mir das mal ein wenig von der Seele schreiben muss - nicht, dass das irgendjemanden interessiert.
Weiterlesen -
Der alte weiße Mann erzählt von UNIX-Philosophie
Ich möchte hier einmal beschreiben, wie wir Probleme früher ressourcenschonend, effizient und mit einem Wissensgewinn als Bonus gelöst haben und werde zeigen, dass das auch heute noch möglich ist.
Weiterlesen
Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.
Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.
Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...
PS: Meine öffentlichen Codeberg-Repositories findet man hier.