对称加密
一 基本介绍
1、简介
对称加密算法又称传统加密算法。 加密和解密使用同一个 密钥。
2、对称加密算法示例
密钥:X 加密算法:每个字符+X 明文:Hello 密钥为 1 时加密结果:Ifmmp 密钥为 2 时加密结果:Jgnnq
3、优缺点
算法公开,计算量小,加密速度快,加密效率高 双方使用相同的钥匙,安全性得不到保证
4、注意事项
密钥的保密工作非常重要 密钥要求定期更换
二 经典加密算法
1、经典加密算法
DES(Data Encryption Standard):数据加密标准(现在用的比较少,因为它的加密强度不够,能够暴力破解)
3DES:原理和DES几乎是一样的,只是使用3个密钥,对相同的数据执行三次加密,增强加密强度。(缺点:要维护3个密钥,大
大增加了维护成本)
AES(Advanced Encryption Standard):高级加密标准,目前美国国家安全局使用的,苹果的钥匙串访问采用的就AES加密。是
现在公认的最安全的加密方式,是对称密钥加密中最流行的算法。
2、加密模式
ECB:电子密码本,就是每个块都是独立加密的。(ECB加密模式.png)
CBC:密码块链,使用一个密钥和一个初始化向量(IV)对数据执行加密转换。(CBC加密模式.png)
只要是对称加密都有 ECB和 CBC 模式,加密模式是加密过程对独立数据块的处理。对于较长的明文进行加密需要进行分块加密,在实际开发中,推荐使用CBC的,ECB的要少用。
3、终端演示ECB和CBC加密的特点
终端命令如下
ECB
加密
$ openssl enc -des-ecb -K 616263 -nosalt -in msg1.txt -out msg1.bin
解密
$ openssl enc -des-ecb -K 616263 -nosalt -in msg1.bin -out msg1.txt -d
查看加密之后的二进制文件
$ xxd msg1.bin// xxd 命令用于以十六进制显示文件的内容
CBC
加密
$ openssl enc -des-cbc -K 616263 -iv 000000000000 -nosalt -in msg1.txt -out msg1.bin
解密
$ openssl enc -des-cbc -K 616263 -iv 000000000000 -nosalt -in msg1.bin -out msg1.txt -d
查看加密之后的二进制文件
$ xxd msg1.bin
三 代码实现
- (void)AESDemo {
/************ EBC ****************/
// 加密使用的 key
NSString *key = @"abc";
// 要加密的字符串
NSString *str = @"i love you";
// 加密
NSString *result = [CryptorTools AESEncryptString:str keyString:key iv:nil];
NSLog(@"ECB 加密 = %@",result);
// 使用 base64 解码 (echo -n "0qg3nXM31/76bCMMJ6NRRg==" ! | base64 -D)
NSLog(@"ECB 解密 = %@",[CryptorTools AESDecryptString:result keyString:key iv:nil]);
/************ CBC ****************/
uint8_t iv[8] = {1,2,3,4,5,6,7,8};
NSData *ivData = [NSData dataWithBytes:iv length:sizeof(iv)];
NSString *result1 = [CryptorTools AESEncryptString:str keyString:key iv:ivData];
NSLog(@"CBC 加密 = %@",result1);
NSLog(@"CBC 解密 = %@",[CryptorTools AESDecryptString:result1 keyString:key iv:ivData]);
}
通过终端命令验证上面代码加密的结果
ECB 加密/解密
AES(ECB)加密
$ echo -n "i love you" | openssl enc -aes-128-ecb -K 616263 -nosalt | base64
AES(ECB)解密
$ echo -n "0qg3nXM31/76bCMMJ6NRRg==" | base64 -D | openssl enc -aes-128-ecb -K 616263 -nosalt -d
CBC 加密/解密
AES(CBC) 加密
$ echo -n "i fuck you" | openssl enc -aes-128-cbc -iv 0102030405060708 -K 616263 -nosalt | base64
AES(CBC) 解密
$ echo -n "YsUlU+/eAXb/QZASy6gQew==" | base64 -D | openssl enc -aes-128-cbc -iv 0102030405060708 -K 616263 -nosalt -d
终端命令解释加密过程先加密,再 base64编码。解密过程是先 base64,再解密。其中 | 在命令里面叫做管道。作用是将前一个命令的结果当作参数传递给后一个命令-K 就是密钥的ASCII码的十六进制
非对称加密
一 简介
非对称加密是计算机通信安全的基石,保证了加密数据不会被破解。
非对称加密算法需要两个密钥:公开密钥(publickey) 和 私有密钥(privatekey) 公开密钥和私有密钥是一对
○ 如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密。
○ 如果用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。
二 原理
1、找出两个‘很大’的质数:P & Q,一般长度是上百位。然后通过下面计算得到 N和 M;
N =P * Q
M = (P - 1) * (Q - 1)
2、找出整数E,E与M互质,即除了1之外,没有其他公约数
3、找出整数D,使用ED除以M余1,即(ED) % M = 1
4、经过上述准备工作之后,可以得到:
E是公钥,负责加密
D是私钥, 负责解密
N负责公钥和私钥之间的联系
5、加密算法,假定对X进行加密
(X^E)%N = Y
6、解密算法,根据‘费马小定理',可以使用以下公式完成解密
(Y^D)%N = X
三 代码演练
- (void)RSADemo{
CryptorTools *tools = [[CryptorTools alloc] init];
// 加载公钥
NSString *pubPath = [[NSBundle mainBundle] pathForResource:@"rsacert.der" ofType:nil];
[tools loadPublicKeyWithFilePath:pubPath];
// 使用公钥加密
NSString *result = [tools RSAEncryptString:@"i love you"];
NSLog(@"%@",result);
// 加载私钥
NSString *privatePath = [[NSBundle mainBundle] pathForResource:@"p.p12" ofType:nil];
[tools loadPrivateKey:privatePath password:@"123"];
// 使用私钥解密
NSLog(@"%@",[tools RSADecryptString:result]);
}
四 RSA密钥生成过程
1、程序开发证书生成
生成私钥文件
$ openssl genrsa -out private.pem 1024
openssl:是一个自由的软件组织,专注做加密和解密的框架。
genrsa:指定了生成私钥算法使用RSA
-out:后面的参数表示生成的key的输入文件
1024:表示的是生成key的长度,单位字节(bits)
创建证书请求
$ openssl req -new -key private.pem -out rsacert.csr
可以拿着这个文件去数字证书颁发机构(即CA)申请一个数字证书。CA会给你一个新的文件cacert.pem,那才是你的数字证书。(要收费的)
生成证书并签名,有效期10年
$ openssl x509 -req -days 3650 -in rsacert.csr -signkey private.pem -out rsacert.crt
X509是一种非常通用的证书格式。
将用上面生成的密钥privkey.pem和 rsacert.csr证书请求文件 生成一个数字证书rsacert.crt。这个就是公钥。
转换格式 将 PEM 格式文件 转换成 DER 格式
$ openssl x509 -outform der -in rsacert.crt -out rsacert.der
在 iOS开发中,公钥是不能使用base64编码的,上面的命令是将公钥的base64编码字符串转换成二进制数据
导出 P12 文件
$ openssl pkcs12 -export -out p.p12 -inkey private.pem -in rsacert.crt
在iOS使用私钥不能直接使用,需要导出一个p12文件。下面命令就是将私钥文件导出为p12文件。
