md5之加盐
md5在实际开发中是不会直接使用,不够安全,http://www.cmd5.com/ 这个网站中可以根据32位字符反查询到你的密码。
对安全系数要求不太高的应用,一般会用加盐的方式对数据进行加密。
NSString *pwdMd5 = pwd.md5String; -- 对密码进行单次加密,也可以进行双次md5加密
- 但加盐方式也不是绝对安全的,因为
salt是由开发人员自定义的,当salt泄露时,就相当于整个程序的加密方式暴露了,很容易被别人破解;
NSString *salt = @"abc";
NSString *pwdSalt = [pwd stringByAppendingString:salt].md5String;
md5之HMAC
HMAC,给定一个密钥,对明文进行密钥的拼接,,并且做2次散列(MD5) -> 得到32位结果
- 用户在注册的那一刻,向服务器索取密钥key
- 客户端拿到key的这一刻,就将key保存到本地
- 切换了新的设备(换手机重新登录、登录新的已有账号!)---重新找服务器获取
//如何避免
一种情况! 如果黑客 模拟你的网络请求..不需要拿到真实密码!用加密后的信息,也可以获得登录之后的权限!!
//让我们的密码具有时效性!! 也就是 加密过后的密码 有时间限制!!
客户端:
UserID = staygold
Pass == (123456+KEY)HMAC == e9cdab82d48dcd37af7734b6617357e6
KEY(第一次请求的时候获取key)
服务器:
KEY(发给客户端的key)
UserID = staygold
密码 = Pass == e9cdab82d48dcd37af7734b6617357e6
当第二次发送: UserID : (Pass(加密后的字符串) + '201702102020')md5
`服务器对比: 只要服务器当前时间或者上一分钟 加密后的字符相等!就返回登录成功!!`
(Pass + "201702102020")md5 != (Pass + "201702102021")md5
(Pass + "201702102020")md5 == (Pass + "201702102020")md5
`防止黑客模拟登陆做其他操作,这样密码就会有一个时效性的效果`
本地储存之钥匙串访问(SSKeyChain):
- 苹果的"生态圈",从 iOS7.0.3 版本开放给开发者!
- 功能:在Mac上能够动态生成复杂密码,帮助用户记住密码!
- 如果用户访问网站,记住密码,我们还可以看到记住的密码明文!明文记录
- 本身的所有接口都是 C 语言的.借助三方库
- 采用的加密方式是 AES 加密!
- 直接保存明文密码,如果应用删了都是可以找回密码
对称加密和非对称加密
| 名称 | 对称加密算法-传统加密算法 | 非对称加密算法 -现代加密算法 |
|---|---|---|
| 加密方式 | 加密和解密使用同一个密钥 | 公钥、私钥 |
| 加密方式 | 密钥的保密工作就非常重要 | 公钥加密,私钥解密 |
| 加密方式 | 密钥会定期更换 | 私钥加密,公钥解密 |
| 优缺点 | 优点:速度快 缺点:使用同一个密钥
|
优点:安全 缺点:速度较慢
|
对称加密算法之经典算法:
-
DES数据加密标准(用的少,因为强度不够) -
3DES使用三个密钥,对相同的数据执行三次加密强度增强 -
AES高级加密标准,目前美国国家安全局使用AES加密,苹果的钥匙串使用的就是AES加密 -
ECB电子代码本,将一个数据拆分成多块,然后独立加密 -
CBC将数据拆分成多块,每一块数据加密都会依赖上一块数据的加密信息,密码块链,使用一个密钥和一个初始化量对数据进行加密抓换,能保证密文的完整性,如果一个数据发生改变,后面的所有数据将会被破坏
对称加密和解密的底层算法
- (NSString *)encryptString:(NSString *)string keyString:(NSString *)keyString iv:(NSData *)iv {
// 设置秘钥
NSData *keyData = [keyString dataUsingEncoding:NSUTF8StringEncoding];
uint8_t cKey[self.keySize];
bzero(cKey, sizeof(cKey));
[keyData getBytes:cKey length:self.keySize];
// 设置iv
uint8_t cIv[self.blockSize];
bzero(cIv, self.blockSize);
int option = 0;
/**
kCCOptionPKCS7Padding CBC 的加密
kCCOptionPKCS7Padding | kCCOptionECBMode ECB 的加密
*/
if (iv) {
[iv getBytes:cIv length:self.blockSize];
option = kCCOptionPKCS7Padding;
} else {
option = kCCOptionPKCS7Padding | kCCOptionECBMode;
}
// 设置输出缓冲区
NSData *data = [string dataUsingEncoding:NSUTF8StringEncoding];
size_t bufferSize = [data length] + self.blockSize;
void *buffer = malloc(bufferSize);
// 开始加密
size_t encryptedSize = 0;
/**
CCCrypt 对称加密算法的核心函数(加密/解密)
参数
1. kCCEncrypt 加密/ kCCDecrypt 解密
2. 加密算法,默认使用的是 AES/DES
3. 加密选项 ECB/CBC
kCCOptionPKCS7Padding CBC 的加密
kCCOptionPKCS7Padding | kCCOptionECBMode ECB 的加密
4. 加密密钥
5. 密钥长度
6. iv 初始向量,ECB 不需要指定
7. 加密的数据
8. 加密的数据长度
9. 密文的内存地址
10. 密文缓冲区大小
11. 加密结果大小
*/
CCCryptorStatus cryptStatus = CCCrypt(kCCEncrypt,
self.algorithm,
option,
cKey,
self.keySize,
cIv,
[data bytes],
[data length],
buffer,
bufferSize,
&encryptedSize);
NSData *result = nil;
if (cryptStatus == kCCSuccess) {
result = [NSData dataWithBytesNoCopy:buffer length:encryptedSize];
} else {
free(buffer);
NSLog(@"[错误] 加密失败|状态编码: %d", cryptStatus);
}
return [result base64EncodedStringWithOptions:0];
}
如果android和iOS加密出来的结果不同可以用以下方式:
/**
* 终端测试指令
* 注意-K是指ASCII表的十六进制表的内容
*
*
* DES(ECB)加密
* $ echo -n hello | openssl enc -des-ecb -K 616263 -nosalt | base64
*
* DES(CBC)加密
* $ echo -n hello | openssl enc -des-cbc -iv 0102030405060708 -K 616263 -nosalt | base64
*
* AES(ECB)加密
* $ echo -n hello | openssl enc -aes-128-ecb -K 616263 -nosalt | base64
*
* AES(CBC)加密
* $ echo -n hello | openssl enc -aes-128-cbc -iv 0102030405060708 -K 616263 -nosalt | base64
*
* DES(ECB)解密
* $ echo -n HQr0Oij2kbo= | base64 -D | openssl enc -des-ecb -K 616263 -nosalt -d
*
* DES(CBC)解密
* $ echo -n alvrvb3Gz88= | base64 -D | openssl enc -des-cbc -iv 0102030405060708 -K 616263 -nosalt -d
*
* AES(ECB)解密
* $ echo -n d1QG4T2tivoi0Kiu3NEmZQ== | base64 -D | openssl enc -aes-128-ecb -K 616263 -nosalt -d
*
* AES(CBC)解密
* $ echo -n u3W/N816uzFpcg6pZ+kbdg== | base64 -D | openssl enc -aes-128-cbc -iv 0102030405060708 -K 616263 -nosalt -d
*
* 提示:
* 1> 加密过程是先加密,再base64编码
* 2> 解密过程是先base64解码,再解密
*/
非对称加密之RSA算法
RSA.png
质数是指只能被1或者自己整除的(除出来的数有余数),例如:1,2,3,5,7,11
创建公钥和密钥
openssl genrsa -out private.pem 512
openssl rsa -in private.pem -out public.pem -pubout
但是iOS开发中不能用pem格式,需要用到的是der格式(二进制格式)
openssl req -new -key private.pem -out rsacer.csr
openssl x509 -req -days 3650 -in rsacer.csr -signkey private.pem -out rsacer.crt
openssl x509 -outform der -in rsacer.crt -out rsacer.der
openssl pkcs12 -export -out p.p12 -inkey private.pem -in rsacer.crt
最终生成一个p12文件。
拿到p12文件和rsacer.der文件后就进行加密操作。
XHCryptorTools *tools = [[XHCryptorTools alloc] init];
//1加载公钥
NSString *pubPath = [[NSBundle mainBundle] pathForResource:@"rsacert.der" ofType:nil];
[tools loadPublicKeyWithFilePath:pubPath];
//2:使用公钥加密
NSString *result = [tools RSAEncryptString:@"123456jkkkhhh"];
NSLog(@"加密之后的结果是:%@",result);
//3:加载私钥,并且指定导出p12时设定的密码
NSString *privatePath = [[NSBundle mainBundle] pathForResource:@"p.p12" ofType:nil];
[tools loadPrivateKey:privatePath password:@"123456"];
// 4. 使用私钥解密
NSLog(@"解密结果 %@", [tools RSADecryptString:result]);
总结:
1.AES 是对数据本身加密 和 解密
2.RSA 是对 AES(key)密钥加密
