密码学专题 OpenSSL专题

最新推荐文章于 2022-09-06 09:21:37 发布
最新推荐文章于 2022-09-06 09:21:37 发布
阅读量889 收藏 3
点赞数
分类专栏: 密码学 文章标签: perl 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHYabc123456hh/article/details/121304631
版权

OpenSSL总体架构 

  • 软件包分为三个主要的功能部分:密码算法库 、 SSL协议库及应用程序

  • MacOS,MS,OS/2及 VMS这几个目录,包含了在不同的 平台编译时的环境变量配置文件,在安装编译完成之后,这几个目录就没有作用了。
  • bugs,certs,perl,shlib,times,tools 及 utils 目录都是一些辅助的目录 , 里面包含文件对于我们使用 OpenSSL进行工作并没有很多的帮助,所以可以不作深究。但是编译的时候还是需要的
  • Crypto目录是 OpenSSL所有密码算法和一些 PKI相关标准源码存放的目录,也是 OpenSSL 最 重 要 的 一 个 目 录 。
  • SSL 目 录 是 SSL 协 议 各 个 版 本 的 实 现 源 码 存 放 的 目 录 。
  • Doc目录是 OpenSSL使用的说明文档存放的目录,这个目录对于 OpenSSL使用者来说具有 “芝麻开门”的作用。
  • Apps目录存放了OpenSSL所有应用程序的源代码文件,也是研 究 OpenSSL API 的 很 好 的 例 子 。
  • Demos 目 录 就 是 一 些 乐 意 奉 献 的 人 写 的 OpenSSL 应 用 的例子,在你开始使用 OpenSSL进行工作之前,可以看看这个目录,或许会有所帮助。
  • Include 目 录 是 使 用 OpenSSL 的 库 进 行 编 程 的 时 候 可 能 需 要 使 用 到 的 一 些 头 文 件 。
  • Test 目录是 OpenSSL一些自身功能测试源程序所在的地方。

注意事项

  • 如果在 Windows平台下将 OpenSSL编译成功后,还会增加三个新的目录:Inc32, Out32dl,Tmp32dl。
  • Inc32目录和Include目录相似,存放的是 Windows平台下使用 OpenSSL进行编程需要包含的头文件。
  • Out32dl则存放了 OpenSSL编译成功后的可执行应用程序、链接库 LIB文件和动态 DLL 文件。
  • Tmp32dl则是在编译过程中存放 OBJ等 临时文件的目录。

OpenSSL算法目录

  • Crypto 目录包含了OpenSSL密码算法库的所有源代码文件, 是 OpenSSL中最重要的目录之一。
  • OpenSSL的密码算法库包含了 OpenSSL中所有密码算法、密钥管理和证书管理相关标准的实现
  • 在 Windows下编程后的库文件名为libeay32.lib, 在 Linux 下 编 译后生成的库文件名为 libcrypto.a。 Crypto目录下包含了众多的子目录,这些子目录大多数以相关的算法或标准名称的简写命名。
  • 当然,并非所有这 些目录存放的源文件都是密码算法和标准,有些是 OpenSSL本身的一些相关功能文件, 如 BIO,DSO 和 EVP 等 

  • 对称加密算法8种,非对称加密算法4种,信息摘要算法5种。 

 openssl文档目录

  • OpenSSL的文档使用Perl文档格式保存,为 “.pod”文件,对于 Windows平台的用户,阅读这样的文档可能存在一些麻烦,可以使用Perl工具pod2text或者pod2html 指令将文档转换成txt文本格式或者html格式以方便阅读。
  • doc文档涉及到 应用程序说明文档、密码算法库 API文档及SSL协议库API文档
  • 应用程序说明文档目录 (Apps)包含了大部分OpenSSL应用程序的使用和参数说明,并有部分例子。
  • 密码算法库API文档 (Crypto)则包含了部分OpenSSL密码算法库的API的使用说明,可惜不是很全面。
  • SSL协议库 API文档包含了 OpenSSL实现的SSL协议和 TLS协议的大部分 API使用说明,该部分由于变动比较缓慢,所以文档相对全面一些。此外, 目前版本的 OpenSSL文档目录下还有一个 Howto子目录,现在只有一个文件,内容是关于证书的一些问题,希望后续的版本能够丰富这个 Howto目录。
  • OpenSSL文档目录的根目录下还有个综述性质的文档 ssleay.txt 和 openssl.txt, 也是值得一看的 。

Openssl的功能

对称加密算法

  • OpenSSL一共提供了8种对称加密算法,其中7种是分组加密算法,仅有的一种流 加密算法是 RC4。这7种分组加密算法分别是 AES,DES,Blowfish,CAST,IDEA,RC2,RC5,都支持电子密码本模式 (ECB)、加密分组链接模式 (CBC)、加密反馈模式 (CFB)和输出反馈模式 (OFB)四种常用的分组加密模式
  • 其中,AES使用的加密反馈模式 (CFB)和输出反馈模式 (OFB)分组长度是128位,其他算法使用的则是64位。
  • 事实上,DES算法里面不仅仅是常用的 DES算法,还支持三个密钥和两个密钥的3DES 算法。
  •  OpenSSL 还使用EVP封装了所有的对称加密算法,使得各种对称加密算法能够使用统一的 API接口EVP_Encrypt 和 EVP_Decrypt 进行数据的加密和解密 ,大大 提高了代码的可重用性能 。

非对称加密算法

  • OpenSSL一共实现了4种非对称加密算法,包括 DH 算法、RSA 算法、DSA 算法和 椭圆曲线算法 (EC)。
  • DH算法一般用于密钥交换。RSA算法既可以用于密钥交换,也可以用于数字签名,当然,如果你能够忍受其缓慢的速度,那么也可以用于数据加密。
  • DSA 算法则一般只用于数字签名。
  • OpenSSL 也使用EVP技术对不同功能的非对称加密算法进行封装,提供了统一的 API接口。如果使用非对称加密算法进行密钥交换或者密钥加密, 则使用 EVP_Seal 和 EVP_Open 进行加密和解密 ; 如果使用非对称加密算法进行数字签名 ,则使用 EVP_Sign 和 EVP_Verify 进行签名和验证

信息摘要算法

  • OpenSSL实现了5种信息摘要算法,分别是 MD2,MD5,MDC2,SHA (SHA1)和 RIPEMD。SHA 算法事实上包括了SHA 和 SHA1两种信息摘要算法 。 此外 , OpenSSL还实现了 DSS标准中规定的两种信息摘要算法 DSS和 DSS1。

  • OpenSSL 采用EVP_Digest 接口作为信息摘要算法统 一 的 EVP 接 口 , 对所有信息摘要算法进行了封装,提高了代码的重用性。当然,跟对称加密算法和非对称加密算法不一 样,信息摘要算法是不可逆的,不需要一个解密的逆函数。

密钥和证书管理

  • 密钥和证书管理是PKI的一个重要组成部分 , OpenSSL 为之提供了丰富的功能 , 支持多种标准
  • 首先,OpenSSL实现了 ASN.1的证书和密钥相关标准,提供了对证书、公钥、私钥 、 证 书请求及CRL 等数据对象的DER , PEM 和 BASE64 的编解码功能 。 OpenSSL 提供了产生各种公开密钥对和对称密钥的方法、函数和应用程序,同时提供了对公钥和私钥 的 DER 编解码功能 , 并实现了私钥的PKCS#12 和 PKCS#8 的编解码功能 。 OpenSSL 在标准中提供了对私钥的加密保护功能,使得密钥可以安全地进行存储和分发。
  • 在此基础上,OpenSSL实现了对证书的 X.509标准编解码、PKCS#12格式的编解 码及 PKCS#7的编解码功能。并提供了一种文本数据库,支持证书的管理功能,包括证 书密钥产生、请求产生、证书签发、吊销和验证等功能。
  • 事实上,OpenSSL提供的CA应用程序就是一个小型的证书管理中心 (CA),实现 了证书签发的整个流程和证书管理的大部分机制。

SSL 和TLS 协议

  • 虽然已经有众多的软件实现了SSL的功能,但是OpenSSL里面实现的SSL协议能够让我们对SSL协议有一个更加清楚的认识,因为至少存在两点:一是OpenSSL实现的SSL协议是开放源代码的,我们可以研究SSL协议实现的每一个细节;二是OpenSSL实现的SSL协议是纯粹的SSL协议,没有跟其他协议(如HTTP)协议结合在一起。由于SSL协议现在经常跟HTTP协议在一起应用形成HTTPS协议,所以很多人误认为SSL协议就是为了保护Web安全性的,这实在是一个很大的解!
  • OpenSSL实现了SSL协议的SSLv2和SSLv3,支持了其中绝大部分的算法协议。OpenSSL也实现了TLSv1.0,TLS是SSLv3的标准化版,虽然区别不大,但毕竟有很多细节不尽相同。OpenSSL除了提供使用SSL协议和TLS协议的API接口函数之外,还提供了两个不错的应用程序S_Client和S_Server。S_Client用来模拟SSL客户端,可以用来测试SSL服务器,比如IIS和带mod_ssl的Apache等;而S_Server模拟了一个SSL服务器,可以用来测试SSL客户端,比如IE和Netscape等。事实上,由于是开放源代码的,S_Client和S_Server程序的源代码还是很好的OpenSSL的SSL接口API使用例子

应用程序

  • 现在OpenSSL的应用中,很多都是基于OpenSSL的应用程序而不是其API的,如OpenCA,就是完全使用OpenSSL的应用程序实现的。OpenSSL的应用程序是基于OpenSSL的密码算法库和SSL协议库写成的,所以也是一些非常好的OpenSSL的API使用范例,
  • OpenSSL的应用程序主要包括密钥生成、证书管理、格式转换、数据加密和签名、SSL测试,以及其他辅助配置功能。表4.4是OpenSSL-0.9.7版本的指令列表。在表4.4中,根据指令的性质,对指令进行了归类,这些归类不一定科学。
  • 这些类型包括:对称密钥指令、非对称密钥指令、信息摘要和签名指令、证书签发和管理指令、标准转换指令、SSL测试指令及其他指令。

 

Engine机制

  • Engine机制的目的是为了使OpenSSL能够透明地使用第三方提供的软件加密库或者硬件加密设备进行加密。 

  • 目前,OpenSSL的0.9.7版本支持的内嵌第三方加密设备有8种,包括:CryptoSwift,nCipher,Atala,Nuron,UBSEC,Aep,SureWare及IBM4758CCA的硬件加密设备。现在还出现了支持PKCS#11接口的Engine接口,支持微软CryptoAPI的接口也有人进行开发。当然,所有上述Engine接口支持不一定很全面

 BIO机制

  • BIO机制是OpenSSL提供的一种高层IO接口,该接口封装了几乎所有类型的IO接口,如内存访问、文件访问及Socket等。这使得代码的重用性大幅度提高,OpenSSL提供的API的复杂性也降低了很多。前面介绍的EVP封装也提高了OpenSSL代码的可重用性。

OpenSSL的应用

  • penSSL的应用一般可以分为两种不同的方式:基于OpenSSL指令的应用和基于OpenSSL加密库和协议库的应用。前者更容易一些,而后者需要做的工作更多一些。当然,这些应用不一定是截然分开的,你当然可以两种都用一点,比如使用SSL协议的API,但是证书可以使用OpenSSL的指令签发。

参考链接

MY CUP OF TEA
关注
专栏目录
OpenSSL中文手册之X509库详解(未完待续)
liao20081228的博客
08-19 9744
OpenSSL之X509系列之1—引言和X509概述 【引言】 X509是系列的函数在我们开发与PKI相关的应用的时候我们都会用到,但是OpenSSL中对X509的描述并不是很多,鉴于些,我将以前工作与学习过程的经验整理出来,供大家参考,不用多走弯路,可以将精力集中在自己要处理的业务逻辑上,同时也希望更多的人参与到研究与整理信息安全的理论与技术中来,提高中国的科研与应用技术水平。提高中国
红队专题-Perm权限提升与维持隐匿Privilege Escalation
最新发布
aming小老弟
10-27 878
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
怎样用 Tar 和 OpenSSL 给文件和目录加密及解密
weixin_33895604的博客
06-02 109
当你有重要的敏感数据的时候,给你的文件和目录额外加一层保护是至关重要的,特别是当你需要通过网络与他人传输数据的时候。 由于这个原因,我在寻找一个可疑在 Linux 上加密及解密文件和目录的实用程序,幸运的是我找到了一个用 tar(Linux 的一个压缩打包工具)和 OpenSSL 来解决的方案。借助这两个工具,你真的可以毫不费力地创建和加密 tar 归档...
linux证书存放路径,利用Tar和OpenSSL轻松加/解密文件和目录
weixin_29252859的博客
05-06 1685
众所周知要想保护数据的安全比较简单快捷的方法无疑是给文件和目录进行加密的操作。相比于Windows给文件和目录进行加/解密的操作,在Linux上进行加/解密文件和目录要复杂一点。那么我们到底有没有什么方法让我们在Linux中简单快捷的给文件和目录进行加/解密的方法呢?为此在本文中课课家笔者就为大家介绍利用Tar和OpenSSL加/解密文件和目录的方法给大家参考参考,希望能够提高大家的工作和学习效率...
C++ 开源密码库之OpenSSL的使用
热门推荐
温暖不了你的心的博客
01-17 1万+
系列文章目录 C++ 开源密码库之OpenSSL的使用 文章目录系列文章目录前言一、openssl下载二、编译步骤1. 官网步骤2. 实战步骤三、 使用1.引入库2.代码实例3. 结果总结 前言 随着人们信息安全和软件产权的不断发展,加密技术也越来越重要,openssl作为一个功能丰富且开源的加密库,在应用开发中得到广泛的应用, 本文就openssl库下载、编译及C++项目使用进行记录和学习。 一、openssl下载 官网:https://www.openssl.org/ 官网下载来的,需要自己手动编译
openssl1.1.1编译的libcrypto.lib和libssl.lib(含include与bin文件夹)
12-27
Windows下,openssl1.1.1编译的libcrypto.lib和libssl.lib各类lib合集,编译生成bin、include、lib等各类文件夹
openssl官网文档资料
MashiMaroJ的专栏
08-05 2740
openssl资料查找
php实现基于openssl的加密解密方法
10-21
1. openssl简介:openssl是一个开源的软件库包,提供了密码学相关的功能,包括加密解密、SSL/TLS协议、X.509证书管理等。在PHP中,openssl扩展提供了对openssl库的接口,使得开发者能够利用openssl进行加密解密操作...
红队专题-Meterpreter
aming小老弟
09-06 652
Metasploit是一款开源的安全漏洞检测 渗透测试 工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。
openssl 介绍(一)
老鹰不捉小鸡
08-21 635
1.1 对称算法 对称算法是使用一个秘钥,把明文加密成密文。解密就是读秘钥与加密秘钥相同。 电子密码本模式(ECB) 加密数据分成若干组,大小与密钥相同,每组都用同一个密钥进行加密 加密块链模式(CBC) 将明文分成固定长度的块,然后将前面一个加密块输出的密文与下一个加密的明文进行异或操作,将计算的结果在用密钥进行加密得到密文,直到整个加密完成。一个会初始化一个向量。 加密反馈模式(C...
OpenSSL/GmSSL 动态引擎
乐于分享
12-02 2677
OpenSSL 简介 OpenSSL 是包含安全套接字层和传输层安全协议的开源软件库,它几乎成为安全领域的事实标准,大部分的服务器和客户端都使用 OpenSSL,一些硬件加密算法的实现通常也需要使用 OpenSSL 的命令行工具进行验证。在实际应用中,OpenSSL可以提供动态引擎框架,可以方便用户使用密码设备完成硬件加速。 GmSSL 简介 国内与OpenSSL相对应的开源项目为 GmSSL,该项目中增加了国密算法,如SM2/SM3/SM4/SM9等,同时也增加了对国家密码标准规范的支持,如SK
php gmssl,GmSSL是什么
weixin_42346710的博客
03-23 509
GmSSL是一个开源的密码工具箱,支持SM2/SM3/SM4/SM9/ZUC等国密(国家商用密码)算法、SM2国密数字证书及基于SM2证书的SSL/TLS安全通信协议,支持国密硬件密码设备,提供符合国密规范的编程接口与命令行工具。GmSSL 是一个开源的密码工具箱,支持 SM2/SM3/SM4/SM9/ZUC 等国密(国家商用密码)算法、SM2 国密数字证书及基于 SM2 证书的 SSL/TLS ...
openssl 加解密以及国密算法
qianbo042311的博客
08-10 4354
国密即国家密码局认定的国产密码算法。主要有SM1,SM2,SM3,SM4。密钥长度和分组长度均为128位。1、SM1 为对称加密。其加密强度与AES相当。该算法不公开,调用该算法时,需要通过加密芯片的接口进行调用。2、SM2为非对称加密,基于ECC。该算法已公开。由于该算法基于ECC,故其签名速度与秘钥生成速度都快于RSA。ECC 256位(SM2采用的就是ECC 256位的一种)安全强度比RSA 2048位高,但运算速度快于RSA。3、SM3 消息摘要。可以用MD5作为对比理解。该算法已公开。...
openssl 非对称加密算法DSA命令详解
weixin_30662539的博客
04-08 442
1、DSA算法概述 DSA算法是美国的国家标准数字签名算法,它只能用户数字签名,而不能用户数据加密和密钥交换。 DSA与RSA的生成方式不同,RSA是使用openssl提供的指令一次性的生成密钥(包括公钥),而通常情况下,DSA是先生成DSA的密钥参数,然后根据密钥参数生成DSA密钥(包括公钥),密钥参数决定了DSA密钥的长度,而且一个密钥参数可以生成多对DSA密钥对。 DSA生成的密钥参数...
openssl的加解密,签名,验签代码
xzpblog
09-20 1748
加密算法: QString EncryData(const char *publicKey, const char *content)//publicKey:公钥,content:要加密的内容 { RSA *p_rsa = GetKeyRSA(publicKey,1);//将文本公钥转化成 RSA 对象 int rsa_len = RSA_size(p_rsa);
[转]OpenSSL相关命令(for Linux)详细介绍
wuhran的Blog-C++,Linux,MySQL,PHP
09-11 946
加密算法:  对称加密算法:  DES、IDEA、RC2、RC4、AES、Skipjack ......  非对称加密算法:  RSA、DSA、DiffieHellman、PKCS、PGP ......  单向的HASH算法属于报文摘要算法,虽然有些也出自OpenSSL库。      命令操作:  1、生成普通私钥:
OPENSSL基本实验以及OPENSSL详解
qq_56289291的博客
07-16 449
openssl
加密解密XXTEA
LANGZI7758521的专栏
07-17 3857
/* XXTEA.java * * Author: Ma Bingyao <andot@ujn.edu.cn> * Copyright: CoolCode.CN * Version: 1.6 * LastModified: 2006-08-09 * This library is free. You can redistribute it and/or ...
xxtea的加密和解密
weixin_34354173的博客
07-24 720
xxtea.c#include "./xxtea.h" #include <memory.h> #include <stdlib.h> static void xxtea_long_encrypt(xxtea_long *v, xxtea_long len, xxtea_long *k) { xxtea_long n = len - ...
椭圆曲线密码学OpenSSL中的实现与优势
椭圆曲线加密是一种公钥算法,具有更高的安全性能、更小的计算量、更快的处理速度、更少的存储需求以及较低的带宽要求,这些优势使得ECC在现代密码学中得到了广泛应用。 首先,ECC介绍提到,160位的ECC与1024位的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值