RSA / ECB / OAEPWITHSHA-256ANDMGF1PADDINGの分類

OAEPのデフォルトでは、MGF1にSHA-1を使用します。選択したハッシュは、OAEPのセキュリティにそれほど影響を与えないことに注意してください。そのため、ほとんどの場合、このデフォルトのままにしておきます。

"OAEPPadding"およびOAEPParameterSpecに対してテストすることで、これを簡単にテストできます。

// --- we need a key pair to test encryption/decryption
KeyPairGenerator kpg = KeyPairGenerator.getInstance("RSA");
kpg.initialize(1024); // speedy generation, but not secure anymore
KeyPair kp = kpg.generateKeyPair();
RSAPublicKey pubkey = (RSAPublicKey) kp.getPublic();
RSAPrivateKey privkey = (RSAPrivateKey) kp.getPrivate();

// --- encrypt given algorithm string
Cipher oaepFromAlgo = Cipher.getInstance("RSA/ECB/OAEPWITHSHA-256ANDMGF1PADDING");
oaepFromAlgo.init(Cipher.ENCRYPT_MODE, pubkey);
byte[] ct = oaepFromAlgo.doFinal("owlstead".getBytes(StandardCharsets.UTF_8));

// --- decrypt given OAEPParameterSpec
Cipher oaepFromInit = Cipher.getInstance("RSA/ECB/OAEPPadding");
OAEPParameterSpec oaepParams = new OAEPParameterSpec("SHA-256", "MGF1", new MGF1ParameterSpec("SHA-1"), PSpecified.DEFAULT);
oaepFromInit.init(Cipher.DECRYPT_MODE, privkey, oaepParams);
byte[] pt = oaepFromInit.doFinal(ct);
System.out.println(new String(pt, StandardCharsets.UTF_8));

パラメータとしてMGF1を"SHA-256"に置き換えると、コードはパディング関連の例外で失敗します。

拡張アルゴリズムがまったく必要な理由は、他のCipherアルゴリズムとの互換性です。例えばのために書かれたコード"RSA/ECB/PKCS1Padding"は、OAEPパラメーターはもちろん、パラメーターを使用しません。したがって、より長い文字列がないと、OAEPはドロップイン交換として機能できません。

操作モード"ECB"は、このコンテキストでは何も意味しません。"None"であるか、完全に省略されている必要があります。 SunRSAプロバイダーのRSA実装を使用して単一のブロックのみを暗号化できます。

さらに多くのデータを暗号化する場合は、ランダム（AES）対称鍵を作成し、OAEPを使用して暗号化します。次に、AESキーを使用して特定のデータを暗号化します。これは、データを暗号化するために非対称プリミティブと対称プリミティブの両方を使用するため、ハイブリッド暗号システムと呼ばれます。

OAEPはJDK 7（1.7）以前ではサポートされていないことに注意してください。 JavaランタイムJava 8：

• RSA/ECB/OAEPWithSHA-1AndMGF1Padding（1024、2048）
• RSA/ECB/OAEPWithSHA-256AndMGF1Padding（1024、2048）

SHA-1はこの種の目的に対して直接脆弱ではない場合でも、SHA-1はほとんどの用途で非推奨になっているため、一部のプロトコルではパディング内でSHA-256またはSHA-512を使用する必要があります。