Khi tích hợp với tính năng lưu trữ lịch sử hội thoại của doanh nghiệp trên nền tảng WeChat Work, nhà phát triển cần thực hiện quy trình giải mã dữ liệu nhạy cảm. Cơ chế bảo mật áp dụng tại đây sử dụng bộ khóa RSA không đối xứng do doanh nghiệp tự quản lý.

Quy Trình Tạo Khóa Và Chuẩn Bị Môi Trường

Để tương thích với giao diện lập trình ứng dụng, hệ thống yêu cầu cặp khóa RSA có độ dài 2048 bit. Bạn có thể sinh ra các file cấu hình khóa trên môi trường Linux thông qua công cụ OpenSSL như sau:

# Tạo cặp khóa riêng tư
openssl genrsa -out company_key_private.pem 2048

# Trích xuất khóa công khai từ khóa riêng
openssl rsa -in company_key_private.pem -pubout -out company_key_public.pem

Nếu cần chuyển đổi định dạng giữa các chuẩn bảo mật, lệnh dưới đây hỗ trợ biến đổi từ PKCS#1 sang PKCS#8:

openssl pkcs8 -topk8 -inform PEM -in company_key_private.pem -outform pem -nocrypt -out key_pkcs8.pem

Vấn Đề Cốt Lõi Trong Giải Mã Java

Tài liệu kỹ thuật đôi khi chưa rõ ràng về việc nên sử dụng định dạng đệm nào cho thuật toán RSA. Mặc dù thư viện mặc định của Java thường ưu tiên PKCS#8, nhưng Enterprise WeChat lại áp dụng tiêu chuẩn PKCS#1 v1.5 cho quá trình mã hóa khóa ngẫu nhiên (random key).

Quy trình xử lý dữ liệu nhận được diễn ra theo trình tự:

1. Lấy tham số encrypt_random_key từ phản hồi JSON.
2. Dùng Base64 giải mã chuỗi ký tự nhận được thành byte array.
3. Sử dụng khóa bí mật (Private Key) kết hợp với cipher mode RSA/ECB/PKCS1Padding để giải mã, thu thập được secret key gốc.
4. Tiếp tục dùng hàm API của SDK cùng encrypt_chat_msg để khôi phục nội dung tin nhắn hoàn chỉnh.

Xây Dựng Class Hỗ Trợ Giải Mã

Dưới đây là ví dụ về một utility class viết lại nhằm tối ưu hóa việc đọc khóa dạng PEM (PKCS#1 hoặc PKCS#8) và thực hiện giải mã an toàn hơn so với các đoạn mã rời rạc thông thường.

public class WeChatMessageDecipher {

    /**
     * Hàm chính để thực hiện giải mã khóa ngẫu nhiên
     */
    public static String decipherSessionKey(String encodedSecretKey, String privateKeyContent) throws Exception {
        // Bước 1: Xử lý nội dung khóa riêng nếu cần thiết
        PrivateKey loadedKey = loadPrivateKey(privateKeyContent);
        
        // Bước 2: Khôi phục lại byte từ chuỗi Base64
        byte[] secretByte = Base64.getDecoder().decode(encodedSecretKey);
        
        // Bước 3: Khởi tạo Cipher với chế độ PKCS1 Padding quan trọng
        Cipher instance = Cipher.getInstance("RSA/ECB/PKCS1Padding");
        instance.init(Cipher.DECRYPT_MODE, loadedKey);
        
        // Bước 4: Thực hiện giải mã
        byte[] plainBytes = instance.doFinal(secretByte);
        return new String(plainBytes, StandardCharsets.UTF_8);
    }

    /**
     * Phân tích cú pháp chuỗi PEM để tạo đối tượng PrivateKey
     * Hỗ trợ cả định dạng BEGIN RSA PRIVATE KEY và BEGIN PRIVATE KEY
     */
    private static PrivateKey loadPrivateKey(String pemString) throws Exception {
        String cleanedPem = normalizePem(pemString);
        byte[] keyBytes = Base64.getDecoder().decode(cleanedPem);
        
        // Giả sử đây là parsing trực tiếp nếu gặp định dạng PKCS#1 thô
        if (pemString.contains("BEGIN RSA PRIVATE KEY")) {
            return parseRawPCKS1(keyBytes);
        } else {
            // Chuẩn PKCS#8
            PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(keyBytes);
            KeyFactory factory = KeyFactory.getInstance("RSA");
            return factory.generatePrivate(spec);
        }
    }

    private static String normalizePem(String input) {
        return input
            .replaceAll("\\n", "")
            .replaceAll("\\r", "")
            .replace("-----BEGIN RSA PRIVATE KEY-----", "")
            .replace("-----END RSA PRIVATE KEY-----", "")
            .replace("-----BEGIN PRIVATE KEY-----", "")
            .replace("-----END PRIVATE KEY-----", "");
    }

    private static PrivateKey parseRawPCKS1(byte[] bytes) throws Exception {
        DerSequenceParser parser = new DerSequenceParser(bytes);
        DerValue seqVal = parser.next();
        SequenceIterator iterator = seqVal.getSequenceValues();
        
        BigInteger n = iterator.next().getAsBigInteger();       // modulus
        BigInteger e = iterator.next().getAsBigInteger();       // public exponent
        BigInteger d = iterator.next().getAsBigInteger();       // private exponent
        
        RSAPrivateCrtKeySpec spec = new RSAPrivateCrtKeySpec(n, e, d, null, null, null, null, null);
        KeyFactory kf = KeyFactory.getInstance("RSA");
        return kf.generatePrivate(spec);
    }
}

Điều quan trọng cần lưu ý là thuộc tính "RSA/ECB/PKCS1Padding" phải được chỉ định chính xác trong phương thức Cipher.getInstance(). Việc sử dụng sai chế độ đệm sẽ gây ra lỗi giải mã hoặc ngoại lệ về kích thước khối dữ liệu không khớp. Với khóa đã được giải mã thành công, bạn sẽ có đủ thông tin để mở khóa nội dung tin nhắn thực tế thông qua thư viện SDK chính thức.