Bouncy Castle Java库中轻量级AEAD密码输出长度问题分析

问题概述

Bouncy Castle Java密码库中的几款轻量级认证加密(AEAD)算法实现被发现存在输出长度计算错误的问题。受影响的具体算法包括Elephant、ISAP、PhotonBeetle和Xoodyak。这些算法在实现过程中未能正确处理缓存数据对输出大小的影响，导致getOutputSize()和getUpdateOutputSize()方法返回了不准确的结果值。

问题详细分析

输出长度计算错误

在ISAP、PhotonBeetle和Xoodyak算法的实现中，消息数据被缓存起来，直到调用doFinal()方法时才进行最终处理。然而，当前的输出大小计算方法没有考虑到这部分缓存数据对最终输出长度的影响，导致返回的数值小于实际需要的输出空间。

Elephant算法的情况略有不同，它采用了部分缓存机制，但同样没有在输出大小计算中正确考虑缓存数据的影响。

字节处理计数错误

Elephant算法还存在另一个问题：在doFinal()方法中返回的是累计处理的字节总数，而不是当前调用实际处理的字节数。这种实现方式与常规的密码操作接口约定不符，可能导致调用方获取到不准确的进度信息。

技术背景

在密码学实现中，输出大小的准确计算至关重要。getOutputSize()和getUpdateOutputSize()是密码操作的标准方法，用于让调用方预先知道需要分配多少缓冲区空间。这些方法必须考虑所有待处理数据，包括已缓存但尚未处理的部分。

解决方案

该问题已被修复，主要调整包括：

1. 对于ISAP、PhotonBeetle和Xoodyak算法，更新输出大小计算方法，使其正确包含缓存数据的影响
2. 对于Elephant算法，修正输出大小计算逻辑，同时调整doFinal()方法返回的字节处理计数
3. 确保所有实现都遵循一致的接口约定和行为模式

对用户的影响

这一修复确保了：

• 调用方能够获取准确的输出缓冲区大小建议
• 密码操作的行为更加一致和可预测
• 避免因缓冲区空间不足导致的处理失败
• 提供准确的字节处理进度信息

用户升级到修复版本后，可以更可靠地使用这些轻量级AEAD算法进行数据加密和认证操作。