版本记录
| 版本号 | 时间 |
|---|---|
| V1.0 | 2017.08.20 |
前言
在这个信息爆炸的年代,特别是一些敏感的行业,比如金融业和银行卡相关等等,这都对
app的安全机制有更高的需求,很多大公司都有安全 部门,用于检测自己产品的安全性,但是及时是这样,安全问题仍然被不断曝出,接下来几篇我们主要说一下app的安全机制。感兴趣的看我上面几篇。
1. APP安全机制(一)—— 几种和安全性有关的情况
2. APP安全机制(二)—— 使用Reveal查看任意APP的UI
3. APP安全机制(三)—— Base64加密
4. APP安全机制(四)—— MD5加密
5. APP安全机制(五)—— 对称加密
非对称加密基本了解
下面我们就看一下非对称加密基本了解,来自百度百科。
对称加密算法在加密和解密时使用的是同一个秘钥;而非对称加密算法需要两个密钥来进行加密和解密,这两个秘钥是公开密钥(public key,简称公钥)和私有密钥(private key,简称私钥)。
定义
1976年,美国学者Dime和Henman为解决信息公开传送和密钥管理问题,提出一种新的密钥交换协议,允许在不安全的媒体上的通讯双方交换信息,安全地达成一致的密钥,这就是“公开密钥系统”。
与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
优缺点
非对称加密与对称加密相比,
优点:其安全性更好,对称加密的通信双方使用相同的秘钥,如果一方的秘钥遭泄露,那么整个通信就会被破解。而非对称加密使用一对秘钥,一个用来加密,一个用来解密,而且公钥是公开的,秘钥是自己保存的,不需要像对称加密那样在通信之前要先同步秘钥。
缺点:非对称加密的缺点是加密和解密花费时间长、速度慢,只适合对少量数据进行加密。
在非对称加密中使用的主要算法有:RSA、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)等。不同算法的实现机制不同,可参考对应算法的详细资料。
非对称加密工作原理
下面我们就看一下非对称加密的工作原理。
- 乙方生成一对密钥(公钥和私钥)并将公钥向其它方公开。
- 得到该公钥的甲方使用该密钥对机密信息进行加密后再发送给乙方。
- 乙方再用自己保存的另一把专用密钥(私钥)对加密后的信息进行解密。乙方只能用其专用密钥(私钥)解密由对应的公钥加密后的信息。
- 在传输过程中,即使攻击者截获了传输的密文,并得到了乙的公钥,也无法破解密文,因为只有乙的私钥才能解密密文。同样,如果乙要回复加密信息给甲,那么需要甲先公布甲的公钥给乙用于加密,甲自己保存甲的私钥用于解密。
如下图所示,甲乙之间使用非对称加密的方式完成了重要信息的安全传输。
非对称加密算法工作原理
非对称加密ios代码层实现
1. RSA算法
下面先看一下RSA算法的ios实现。
首先我们要用Terminal生成几个文件(包括公钥,私钥和证书)。
openssl genrsa -out private_key.pem 1024
openssl req -new -key private_key.pem -out rsaCertReq.csr
openssl x509 -req -days 3650 -in rsaCertReq.csr -signkey private_key.pem -out rsaCert.crt
//为ios创建 public_key.der
openssl x509 -outform der -in rsaCert.crt -out public_key.der
// 为ios创建 private_key.p12,这一步,请记住你输入的密码,IOS代码里会用到
openssl pkcs12 -export -out private_key.p12 -inkey private_key.pem -in rsaCert.crt
// 为JAVA创建 rsa_public_key.pem
openssl rsa -in private_key.pem -out rsa_public_key.pem -pubout
// 为JAVA创建 pkcs8_private_key.pem
openssl pkcs8 -topk8 -in private_key.pem -out pkcs8_private_key.pem -nocrypt
下面就是代码部分了。
1. JJRSAVC.m
#import "JJRSAVC.h"
@interface JJRSAVC ()
@property (nonatomic, assign) BOOL isEncode;
@property (nonatomic, assign) SecKeyRef publicKey;
@property (nonatomic, assign) SecKeyRef privateKey;
@property (nonatomic, copy) NSString *encryptStr;
@end
@implementation JJRSAVC
#pragma mark - Override Base Function
- (void)viewDidLoad
{
[super viewDidLoad];
self.view.backgroundColor = [UIColor lightGrayColor];
self.isEncode = YES;
}
- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event
{
if (self.isEncode) {
//加密
NSString *rsaEncryptResult = [self beginEncryptWithStr:@"Celin"];
NSLog(@"加密结果 = %@", rsaEncryptResult);
self.encryptStr = rsaEncryptResult;
}
else {
//解密
NSString * rsaDecryptResult = [self beginDecryptWithStr:self.encryptStr];
NSLog(@"解密结果 = %@", rsaDecryptResult);
}
}
#pragma mark - Object Private Function
//加密
- (NSString *)beginEncryptWithStr: (NSString *)inputStr
{
self.isEncode = NO;
[self loadPublicKeyFromFile:@"/Users/lily/Desktop/RSA/public_key.der"];
NSString *result = [self rsaEncryptString:inputStr];
return result;
}
- (NSString*)rsaEncryptString:(NSString*)string
{
NSData *data = [string dataUsingEncoding:NSUTF8StringEncoding];
NSData *encryptedData = [self rsaEncryptData: data];
NSString* base64EncryptedString = [encryptedData base64EncodedStringWithOptions:0];;
return base64EncryptedString;
}
- (void)loadPublicKeyFromFile:(NSString*)derFilePath
{
NSData *derData = [[NSData alloc] initWithContentsOfFile:derFilePath];
[self loadPublicKeyFromData: derData];
}
- (void)loadPublicKeyFromData:(NSData*)derData
{
self.publicKey = [self getPublicKeyRefrenceFromeData:derData];
}
- (SecKeyRef)getPublicKeyRefrenceFromeData:(NSData*)derData
{
SecCertificateRef myCertificate = SecCertificateCreateWithData(kCFAllocatorDefault, (__bridge CFDataRef)derData);
SecPolicyRef myPolicy = SecPolicyCreateBasicX509();
SecTrustRef myTrust;
OSStatus status = SecTrustCreateWithCertificates(myCertificate,myPolicy,&myTrust);
SecTrustResultType trustResult;
if (status == noErr) {
status = SecTrustEvaluate(myTrust, &trustResult);
}
SecKeyRef securityKey = SecTrustCopyPublicKey(myTrust);
CFRelease(myCertificate);
CFRelease(myPolicy);
CFRelease(myTrust);
return securityKey;
}
// 加密的大小受限于SecKeyEncrypt函数,SecKeyEncrypt要求明文和密钥的长度一致,如果要加密更长的内容,需要把内容按密钥长度分成多份,然后多次调用SecKeyEncrypt来实现
- (NSData *)rsaEncryptData:(NSData*)data
{
SecKeyRef key = self.publicKey;
size_t cipherBufferSize = SecKeyGetBlockSize(key);
uint8_t *cipherBuffer = malloc(cipherBufferSize * sizeof(uint8_t));
size_t blockSize = cipherBufferSize - 11; // 分段加密
size_t blockCount = (size_t)ceil([data length] / (double)blockSize);
NSMutableData *encryptedData = [[NSMutableData alloc] init] ;
for (int i=0; i<blockCount; i++) {
unsigned long bufferSize = MIN(blockSize,[data length] - i * blockSize);
NSData *buffer = [data subdataWithRange:NSMakeRange(i * blockSize, bufferSize)];
OSStatus status = SecKeyEncrypt(key, kSecPaddingPKCS1, (const uint8_t *)[buffer bytes], [buffer length], cipherBuffer, &cipherBufferSize);
if (status == noErr){
NSData *encryptedBytes = [[NSData alloc] initWithBytes:(const void *)cipherBuffer length:cipherBufferSize];
[encryptedData appendData:encryptedBytes];
}
else{
if (cipherBuffer) {
free(cipherBuffer);
}
return nil;
}
}
if (cipherBuffer){
free(cipherBuffer);
}
return encryptedData;
}
//解密
- (NSString *)beginDecryptWithStr:(NSString *)encryptStr
{
self.isEncode = YES;
[self loadPrivateKeyFromFile:@"/Users/lily/Desktop/RSA/private_key.p12" password:@"123456"];
return [self rsaDecryptString:self.encryptStr];
}
- (void)loadPrivateKeyFromFile:(NSString*)p12FilePath password:(NSString*)p12Password
{
NSData *p12Data = [NSData dataWithContentsOfFile:p12FilePath];
[self loadPrivateKeyFromData: p12Data password:p12Password];
}
- (void)loadPrivateKeyFromData:(NSData*)p12Data password:(NSString*)p12Password
{
self.privateKey = [self getPrivateKeyRefrenceFromData: p12Data password: p12Password];
}
- (SecKeyRef)getPrivateKeyRefrenceFromData:(NSData*)p12Data password:(NSString*)password
{
SecKeyRef privateKeyRef = NULL;
NSMutableDictionary * options = [[NSMutableDictionary alloc] init];
[options setObject: password forKey:(__bridge id)kSecImportExportPassphrase];
CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
OSStatus securityError = SecPKCS12Import((__bridge CFDataRef) p12Data, (__bridge CFDictionaryRef)options, &items);
if (securityError == noErr && CFArrayGetCount(items) > 0) {
CFDictionaryRef identityDict = CFArrayGetValueAtIndex(items, 0);
SecIdentityRef identityApp = (SecIdentityRef)CFDictionaryGetValue(identityDict, kSecImportItemIdentity);
securityError = SecIdentityCopyPrivateKey(identityApp, &privateKeyRef);
if (securityError != noErr) {
privateKeyRef = NULL;
}
}
if (items) CFRelease(items);
return privateKeyRef;
}
- (NSString *)rsaDecryptString:(NSString*)string
{
NSData* data = [[NSData alloc] initWithBase64EncodedString:string options:NSDataBase64DecodingIgnoreUnknownCharacters];
NSData* decryptData = [self rsaDecryptData: data];
NSString* result = [[NSString alloc] initWithData: decryptData encoding:NSUTF8StringEncoding];
return result;
}
- (NSData *)rsaDecryptData:(NSData*)data
{
SecKeyRef keyRef = self.privateKey;
const uint8_t *srcbuf = (const uint8_t *)[data bytes];
size_t srclen = (size_t)data.length;
size_t block_size = SecKeyGetBlockSize(keyRef) * sizeof(uint8_t);
UInt8 *outbuf = malloc(block_size);
size_t src_block_size = block_size;
NSMutableData *ret = [[NSMutableData alloc] init];
for(int idx = 0; idx < srclen; idx += src_block_size){
size_t data_len = srclen - idx;
if(data_len > src_block_size){
data_len = src_block_size;
}
size_t outlen = block_size;
OSStatus status = SecKeyDecrypt(keyRef, kSecPaddingNone, srcbuf + idx, data_len, outbuf, &outlen);
if (status == noErr) {
int idxFirstZero = -1;
int idxNextZero = (int)outlen;
for ( int i = 0; i < outlen; i++ ) {
if ( outbuf[i] == 0 ) {
if ( idxFirstZero < 0 ) {
idxFirstZero = i;
}
else {
idxNextZero = i;
break;
}
}
}
[ret appendBytes:&outbuf[idxFirstZero+1] length:idxNextZero-idxFirstZero-1];
}
else {
if (outbuf)
free(outbuf);
return nil;
}
}
if (outbuf)
free(outbuf);
return ret;
}
@end
参考文章
1. RSA IOS和Java
2. 通过ios实现RSA加密和解密
3. iOS中使用RSA对数据进行加密解密
后记
未完,待续~~
秋
