通過 bouncycastle 讀取 PKCS#8 格式的加密私鑰，Java 在 docker 容器中失敗

Question

我正在嘗試讀取如下所示的 PKCS#8 私鑰：

key.k8 -->（示例密鑰。密碼 - 123456）：

以下代碼用於解析私鑰：

 InputStream privateKeyInputStream = getPrivateKeyInputStream(); // reads the key file from classpath and share as DataStream
 logger.info("InputStreamExists --> {} ", privateKeyInputStream.available());
 PEMParser pemParser = new PEMParser(new InputStreamReader(privateKeyInputStream));
 Object pemObject = pemParser.readObject();
 if (pemObject instanceof PKCS8EncryptedPrivateKeyInfo) {
     // Handle the case where the private key is encrypted.
     PKCS8EncryptedPrivateKeyInfo encryptedPrivateKeyInfo = (PKCS8EncryptedPrivateKeyInfo) pemObject;
     InputDecryptorProvider pkcs8Prov =
            new JceOpenSSLPKCS8DecryptorProviderBuilder().build(passphrase.toCharArray());
     privateKeyInfo = encryptedPrivateKeyInfo.decryptPrivateKeyInfo(pkcs8Prov); // fails here
}

InputStream resourceAsStream = null;
    if ("local".equals(privateKeyMode)) {
      resourceAsStream = this.getClass().getResourceAsStream(privateKeyPath);
    } else {
      File keyFile = new File(privateKeyPath);
      logger.info(
          "Key file found in {} mode. FileName : {}, Exists : {}",
          privateKeyMode,
          keyFile.getName(),
          keyFile.exists());
      try {
        resourceAsStream = new DataInputStream(new FileInputStream(keyFile));
      } catch (FileNotFoundException e) {
        e.printStackTrace();
      }

當我在 windows 上通過 intelliJ 運行此代碼時，代碼工作正常，但是當我通過 docker 容器運行它時，我得到以下異常：

org.bouncycastle.pkcs.PKCSException: unable to read encrypted data: failed to construct sequence from byte[]: Extra data detected in stream
snowflake-report-sync    |      at org.bouncycastle.pkcs.PKCS8EncryptedPrivateKeyInfo.decryptPrivateKeyInfo(Unknown Source) ~[bcpkix-jdk15on-1.64.jar!/:1.64.00.0]
snowflake-report-sync    |      at com.optum.snowflakereportsync.configuration.SnowFlakeConfig.getPrivateKey(SnowFlakeConfig.java:103) ~[classes!/:na]
snowflake-report-sync    |      at com.optum.snowflakereportsync.configuration.SnowFlakeConfig.getConnectionProperties(SnowFlakeConfig.java:67) ~[classes!/:na]

以下是使用的 Dockerfile：

FROM adoptopenjdk/openjdk11-openj9:latest
COPY build/libs/snowflake-report-sync-*.jar snowflake-report-sync.jar
RUN mkdir /encryption-keys
COPY encryption-keys/ /encryption-keys/ #keys are picked from docker filesystem when running in container
EXPOSE 8080
CMD java -Dcom.sun.management.jmxremote -noverify ${JAVA_OPTS} -jar snowflake-report-sync.jar

嘗試的選項：

確保在容器中運行時正在讀取密鑰文件。 記錄器“InputStreamExists --> {}”給出字節數
在 key.k8 上運行 dos2unix 只是為了確保沒有可能導致問題的 Window 的“^M”字符，因為容器是 linux 一個：來自采用openjdk/openjdk11-openj9:latest

不知道我做錯了什么，但任何幫助或指示將不勝感激。

Answer 1

就像@Bragolgirith 懷疑的那樣，BouncyCastle 似乎對 OpenJ9 有問題。 我想這不是 Docker 問題，因為我也可以在 GitHub Actions 上重現它。 它也不限於 BouncyCastle 1.64 或 1.70，在兩個版本中都會發生。 它也發生在 Windows、MacOS 和 Linux 上的 OpenJ9 JDK 11、14、17 上，但對於 ZD52387880E1EA22817A72D375921-Hotspot 和 Zul 版本的相同矩陣，它可以工作。

這是一個示例 Maven 項目和一個失敗的矩陣構建。 所以如果你 select 另一個 JVM 類型，你應該沒問題。 我知道@Bragolgirith 已經提出了這個建議，但我想讓每個人都能重現這個問題，並提供一個MCVE ，以防有人想要打開 BC 或 OpenJ9 問題。

PS：這也不是InputStreamReader的字符集問題。 在我更改構造函數調用后，此構建失敗與以前完全相同。

更新：我創建了BC-Java 問題 #1099 。 讓我們看看維護者對此能說些什么。

Answer 2

我已經重現了這個問題，此時我會說這是與 OpenJ9 映像/JVM 不兼容的問題。

而是從任何 Hotspot 基礎映像開始，例如

FROM adoptopenjdk:11-jre-hotspot

使代碼工作。

（尚未完全確定故障是否出在 Docker 映像本身、OpenJ9 JVM 或 BouncyCastle）

通過 bouncycastle 讀取 PKCS#8 格式的加密私鑰，Java 在 docker 容器中失敗

問題描述

2 個解決方案

解決方案1
3 2022-01-29 12:01:53

解決方案2
2 2022-01-29 11:11:03

通過 bouncycastle 讀取 PKCS#8 格式的加密私鑰，Java 在 docker 容器中失敗

問題描述

2 個解決方案

解決方案1 3 2022-01-29 12:01:53

解決方案2 2 2022-01-29 11:11:03

解決方案1
3 2022-01-29 12:01:53

解決方案2
2 2022-01-29 11:11:03