openssl⼏个加密算法使⽤介绍
1.openssl简介
1)openssl概述
OpenSSL 是⼀个强⼤的安全套接字层密码库,囊括主要的密码算法、常⽤的密钥和证书封装管理功能及SSL协议,并提供丰富的应⽤程序供测试或其它⽬的使⽤。
2)公钥/私钥/签名/验证签名/加密/解密/⾮对称加密
我们⼀般的加密是⽤⼀个密码加密⽂件,然后解密也⽤同样的密码.这很好理解,这个是对称加密.⽽有些加密时,加密⽤的⼀个密码,⽽解密⽤另外⼀组密码,这个叫⾮对称加密,意思就是加密解密的密码不⼀样.初次接触的⼈恐怕⽆论如何都理解不了.其实这是数学上的⼀个素数积求因⼦的原理的应⽤,如果你⼀定要搞懂,百度有⼤把⼤把的资料可以看,其结果就是⽤这⼀组密钥中的⼀个来加密数据,可以⽤另⼀个解开.是的没错,公钥和私钥都可以⽤来加密数据,相反⽤另⼀个解开,公钥加密数据,然后私钥解密的情况被称为加密解密,私钥加密数据,公钥解密⼀般被称为签名和验证签名.
因为公钥加密的数据只有它相对应的私钥可以解开,所以你可以把公钥给⼈和⼈,让他加密他想要传送给你的数据,这个数据只有到了有私钥的你这⾥,才可以解开成有⽤的数据,其他⼈就是得到了,也看
懂内容.同理,如果你⽤你的私钥对数据进⾏签名,那这个数据就只有配对的公钥可以解开,有这个私钥的只有你,所以如果配对的公钥解开了数据,就说明这数据是你发的,相反,则不是.这个被称为签名.
实际应⽤中,⼀般都是和对⽅交换公钥,然后你要发给对⽅的数据,⽤他的公钥加密,他得到后⽤他的私钥解密,他要发给你的数据,⽤你的公钥加密,你得到后⽤你的私钥解密,这样最⼤程度保证了安全性.
3)RSA/DSA/SHA/MD5
⾮对称加密的算法有很多,⽐较著名的有RSA/DSA ,不同的是RSA可以⽤于加/解密,也可以⽤于签名验签,DSA则只能⽤于签名.⾄于SHA则是⼀种和md5相同的算法,它不是⽤于加密解密或者签名的,它被称为摘要算法.就是通过⼀种算法,依据数据内容⽣成⼀种固定长度的摘要,这串摘要值与原数据存在对应关系,就是原数据会⽣成这个摘要,但是,这个摘要是不能还原成原数据的,嗯….,正常情况下是这样的,这个算法起的作⽤就是,如果你把原数据修改⼀点点,那么⽣成的摘要都会不同,传输过程中把原数据给你再给你⼀个摘要,你把得到的原数据同样做⼀次摘要算法,与给你的摘要相⽐较就可以知道这个数据有没有在传输过程中被修改了.
实际应⽤过程中,因为需要加密的数据可能会很⼤,进⾏加密费时费⼒,所以⼀般都会把原数据先进
⾏摘要,然后对这个摘要值进⾏加密,将原数据的明⽂和加密后的摘要值⼀起传给你.这样你解开加密后的摘要值,再和你得到的数据进⾏的摘要值对应⼀下就可以知道数据有没有被修改了,⽽且,因为私钥只有你有,只有你能解密摘要值,所以别⼈就算把原数据做了修改,然后⽣成⼀个假的摘要给你也是不⾏的,你这边⽤密钥也根本解不开.
4)CA/PEM/DER/X509/PKCS
⼀般的公钥不会⽤明⽂传输给别⼈的,正常情况下都会⽣成⼀个⽂件,这个⽂件就是公钥⽂件,然后这个⽂件可以交给其他⼈⽤于加密,但是传输过程中如果有⼈恶意破坏,将你的公钥换成了他的公钥,然后得到公钥的⼀⽅加密数据,不是他就可以⽤他⾃⼰的密钥解密看到数据了吗,为了解决这个问题,需要⼀个公证⽅来做这个事,任何⼈都可以它来确认公钥是谁发的.这就是CA,CA确认公钥的原理也很简单,它将它⾃⼰的公钥发布给所有⼈,然后⼀个想要发布⾃⼰公钥的⼈可以将⾃⼰的公钥和⼀些⾝份信息发给CA,CA⽤⾃⼰的密钥进⾏加密,这⾥也可以称为签名.然后这个包含了你的公钥和你的信息的⽂件就可以称为证书⽂件了.这样⼀来所有得到⼀些公钥⽂件的⼈,通过CA的公钥解密了⽂件,如果正常解密那么机密后⾥⾯的信息⼀定是真的,因为加密⽅只可能是CA,其他⼈没它的密钥啊.这样你解开公钥⽂件,看看⾥⾯的信息就知道这个是不是那个你需要⽤来加密的公钥了.
实际应⽤中,⼀般⼈都不会CA去签名,因为那是收钱的,所以可以⾃⼰做⼀个⾃签名的证书⽂件,
就是⾃⼰⽣成⼀对密钥,然后再⽤⾃⼰⽣成的另外⼀对密钥对这对密钥进⾏签名,这个只⽤于真正需要签名证书的⼈,普通的加密解密数据,直接⽤公钥和私钥来做就可以了.
密钥⽂件的格式⽤OpenSSL⽣成的就只有PEM和DER两种格式,PEM的是将密钥⽤base64编码表⽰出来的,直接打开你能看到⼀串的英⽂字母,DER格式是⼆进制的密钥⽂件,直接打开,你可以看到……..你什么也看不懂!.X509是通⽤的证书⽂件格式定义.pkcs的⼀系列标准是指定的存放密钥的⽂件标准,你只要知道PEM DER X509 PKCS这⼏种格式是可以互相转化的.
5)对称加密
OpenSSL⼀共提供了8种对称加密算法,其中7种是分组加密算法,仅有的⼀种流加密算法是RC4。这7种分组加密算法分别是AES、DES、Blowfish、CAST、IDEA、RC2、RC5,都⽀持电⼦密码本模式(ECB)、加密分组链接模式(CBC)、加密反馈模式(CFB)和输出反馈模式(OFB)四种常⽤的分组密码加密模式。其中,AES使⽤的加密反馈模式(CFB)和输出反馈模式(OFB)分组长度是128位,其它算法使⽤的则是64位。事实上,DES算法⾥⾯不仅仅是常⽤的DES算法,还⽀持三个密钥和两个密钥3DES算法。
2.rsa介绍
1)openssl rsa命令
⽣成rsa密钥
openssl genrsa -des3 -out prikey.pem
去除掉密钥⽂件保护密码
openssl rsa -in prikey.pem -out prikey.pem
分离出公钥
openssl rsa -in prikey.pem -pubout -out pubkey.pem(获取证书中的公钥 openssl req -in myreq.pem -out -pubkey.pem)
对⽂件进⾏签名
open rsautl -sign -inkey prikey.pem - -out sig.dat
验证签名
openssl rsautl -verify -inkey prikey.pem -in sig.dat
⽤公钥对⽂件加密
openssl rsautl -encrypt -pubin -inkey pubkey.pem - -
⽤私钥解密
openssl rsautl -decrypt -inkey prikey.pem -
⽤证书中的公钥加密
opensll rsautl -encrypt -certin -inkey cert1.pem -
或者
⽣成⼀个没有加密的ca私钥
openssl genrsa -out ca.key.pem 1024
⽣成ca对应的csr⽂件
openssl req -new -key ca.key.pem -out ca.csr
⾃签名
openssl x509 -in ca.csr - -req -signkey ca.key.pem -days 7300 -extensions v3_ca
⽣成DER格式的私钥
openssl pkcs8 -topk8 -inform PEM -outform DER -in ca.key.pem -out ca.private.der -nocrypt
读取证书的内容,显⽰在屏幕上
openssl x509 - -noout -subject -nameopt RFC2253
将der格式的证书转成pem格式
openssl x509 -inform PEM -outform DER -in server.der -out server.pem
2)rsa编程实现
//读取公钥license⽣成RSA结构
handle = fopen(RSA_PUBLIC_KEY_FILE, "r");
if (!handle) {
printf("open file %s error\n", RSA_PUBLIC_KEY_FILE);
return -1;
}
public_key = PEM_read_RSA_PUBKEY(handle, NULL, NULL, NULL);
if (handle) {
fclose(handle);
}
if (!public_key) {
printf("PEM_read_RSA_PUBKEY Error\n");
return -1;
}
printf("Loading PEM_read_RSA_PUBKEY Success\n");
//⽤公钥进⾏解密
memset(dec_buf, 0, sizeof(dec_buf));
ret = RSA_public_decrypt(dataSize, converData, dec_buf, public_key, RSA_PKCS1_PADDING); if (ret <= 0) {
printf("RSA_public_decrypt Error(%d)\n", ret);
printf("dec_buf:%s\n", dec_buf);
}
else {
printf("RSA_public_decrypt Success\n");
printf("dec_buf:%s\n", dec_buf);
save_file(dec_buf);
}
if (converData) {
free(converData);
}
if (data) {
free(data);
}
if (public_key) {
RSA_free(public_key);
}
3. des介绍
static int base64_decode(char *str, int str_len, unsigned char *decode)
{
int len=0;
BIO *b64 = NULL,*bmem = NULL;
b64=BIO_new(BIO_f_base64());
bmem=BIO_new_mem_buf(str, str_len);
bmem=BIO_push(b64, bmem);
len=BIO_read(bmem, decode, str_len);
decode[len]=0;
BIO_free_all(bmem);
return len;
}
int main()
{
//密钥
DES_cblock key = {'s', 't', 'a', 'r', '-', 'n', 'e', 't'};
//初始化向量,必须与加密使⽤的向量⼀致
DES_cblock ivec = { 1, 2, 3, 4, 5, 6, 7, 8 };
DES_key_schedule key_schedule;
//base64每⾏结束符必须是\n
char *data = "qbXat7531Oy/3ZFKNU/b4X0r/nwcnDNgT3iliJGDJr0=\n";
unsigned char base64_de[1024];
int base64_de_len = 0;
unsigned char des_de[1024];
//先base64解码
memset(base64_de, 0, sizeof(base64_de));
base64_de_len = base64_decode(data, strlen(data), base64_de);
//设置密钥
DES_set_key_unchecked(&key, &key_schedule);
//解密
memset(des_de, 0, sizeof(des_de));
DES_ncbc_encrypt(base64_de, des_de, base64_de_len, &key_schedule, &ivec, DES_DECRYPT); printf("des_de:%s\n", des_de);
return 0;
}
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论