openssl RSA、AES、DES、MD5、SHA1,CA

最新推荐文章于 2024-07-08 17:27:15 发布
最新推荐文章于 2024-07-08 17:27:15 发布
阅读量1.4k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Michaelwubo/article/details/79398243
版权

  1. .MD5SHA1加密算法: 用于计算出一段不可逆向计算的数值,以此来验证该文件是否被修改的.

  • md5

         生成md5值:md5sum a.txt b.txt > md5sum

         校验数据正确性:md5sum -c md5sum  

        或

       用md5算法计算文件a.txt的哈西值,输出到stdout:

          openssl dgst -md5a.txt  或    openssl dgst -md5 -out a.txt a.txt 或    openssl dgst -md5 a.txt > sha1sum

       md5算法计算文件a.txt的哈西值,输出到文件sha1sum.txt:

        openssl md5 -out sha1sum a.txt

  • sha1sum:

        生成sha1值:sha1sum a.txt b.txt > sha1sum

         校验数据正确性:sha1sum -c sha1sum

         或

       用SHA1算法计算文件a.txt的哈西值,输出到stdout:

          openssl dgst -sha1 a.txt  或    openssl dgst -sha1 -out a.txt a.txt 或    openssl dgst -sha1 a.txt > sha1sum

       用SHA1算法计算文件a.txt的哈西值,输出到文件sha1sum 

        openssl sha1 -out sha1sum a.txt


2. AES、DES:aes/des加密速度快,适合大量数据. des容易破解,一般用3des,后来又出现了更快更安全的aes.

       OpenSSL一共提供了8种对称加密算法,其中7种是分组加密算法,仅有的一种流加密算法是RC4。这7种分组加密算法分别是AES、DES、             Blowfish、CAST、IDEA、RC2、RC5,都支持电子密码本模式(ECB)、加密分组链接模式(CBC)、加密反馈模式(CFB)和输出反馈模式 (OFB)四种常用的分组密码加密模式。其中,AES使用的加密反馈模式(CFB)和输出反馈模式(OFB)分组长度是128位,其它算法使用的则       是64位。事实上,DES算法里面不仅仅是常用的DES算法,还支持三个密钥和两个密钥3DES算法。 

openssl --help

       

-in <file>     input file
-out <file>    output file
-pass <arg>    pass phrase source
-e             encrypt
-d             decrypt
-a/-base64     base64 encode/decode, depending on encryption flag
-k             passphrase is the next argument
-kfile         passphrase is the first line of the file argument
-md            the next argument is the md to use to create a key
                 from a passphrase.  One of md2, md5, sha or sha1
-S             salt in hex is the next argument
-K/-iv         key/iv in hex is the next argument
-[pP]          print the iv/key (then exit if -P)
-bufsize <n>   buffer size
-nopad         disable standard block padding
-engine e      use engine e, possibly a hardware device.
    

[in/out]

这两个参数指定输入文件和输出文件,加密是输入文件是明文,输出文件是密文;解密时输入文件是密文,输出文件是明文。

[pass]

指定密码的输入方式,共有五种方式:命令行输入(stdin)、文件输入(file)、环境变量输入(var)、文件描述符输入(fd)、标准输入(stdin)。默认是标准输入,及从键盘输入。

[e/d]

e:加密, d:解密  默认是加密

[-a/-base64]

由于文件加密后是二进制形式,不方便查看,使用该参数可以使加密后的内容经过base64编码,使其可读;同样,解密时需要先进行base64解编码,然后进行解密操作。

[-k/-kfile]

兼容以前版本,指定密码输入方式,现已被pass参数取代

[md]

指定密钥生成的摘要算法,用户输入的口令不能直接作为文件加密的密钥,而是经过摘要算法做转换,此参数指定摘要算法,默认md5

[-S]

为了增强安全性,在把用户密码转换成加密密钥的时候需要使用盐值,默认盐值随机生成。使用该参数,则盐值由用户指定。也可指用-nosalt指定不使用盐值,但降低了安全性,不推荐使用。

[K/IV]

默认文件的加密密钥的Key和IV值是有用户输入的密码经过转化生成的,但也可以由用户自己指定Key/IV值,此时pass参数不起作用

[pP]

加上p参数会打印文件密钥Key和IV值,加上P参数也会打印文件密钥Key和IV值,但不进行真正的加解密操作

[bufsize]

读写文件的I/O缓存,一般不需要指定

[-nopad]

不使用补齐,这就需要输入的数据长度是使用加密算法的分组大小的倍数

[engine]

指定三方加密设备,没有环境,暂不实验

       对称加密实例:

   1、只对文件进行base64编码,而不使用加解密

/*对文件进行base64编码*/
openssl enc -base64 -e -in a.txt -out c.base64
/*对base64格式文件进行解密操作*/
openssl enc -base64 -d -in c.base64 -out d.txt
/*使用diff命令查看可知解码前后明文一样*/
diff a.txt d.txt

2、不同方式的密码输入方式



加密密文不可读:openssl enc -e -aes-128-cbc -in a.txt -out c.txt -pass pass:123456 -S 123-p 或openssl aes-128-cbc -e -in a.txt -out c.txt -pass pass:123456 -S 123 -p

加密密文可读:openssl enc -e -aes-128-cbc -in a.txt -out c.txt -p pass:123456 -S 123

解密:penssl enc -d -aes-128-cbc -in a.txt -out  d.txt-p pass:123456 -S 123



可以看到上述我们执行的是enc -help命令,enc是什么东西?原来openssl提供了两种方式调用对称加密算法:

一种就是直接调用对称加密指令,例如:

openssl des-cbc -in plain.txt -out encrypt.txt -pass pass:12345678

另外一种是使用enc的方式,即用对称加密指令作为enc指令的参数,例如:.

openssl enc -des-cbc -in plain.txt -out encrypt.txt -pass pass:12345678

上述两条指令完成的功能是一样的,而且其参数也是一样。原来enc是作用是什么呢?简单来说,为了省事……。

openssl提供了N多的对称加密算法指令,enc就是把这些N多的对称的加密算法指令统一集成到enc指令中。当用户使用时,只需使用enc,指定加密算法,就是完成单独的加密算法指令完成的操作。而且,enc中可以指定的对称加密算法指令可能并没有以单独指令的形式存在。所有笔者建议使用enc这种方式。

当然,虽然openssl为我们提供的对称加密算法指令虽然功能强大,但并不完整,例如对称加密算法不支持76位的RC2加解密或者84位的RC4加解密灯功能。如果想灵活的使用这些加密算法和模式,就需要学习openssl提供的API

/*命令行输入,密码123456*/
openssl enc -aes-128-cbc -in plain.txt -out out.txt -pass pass:123456
/*文件输入,密码123456*/
echo 123456 > passwd.txt
openssl enc -aes-128-cbc -in plain.txt -out out.txt -pass file:passwd.txt
/*环境变量输入,密码123456*/
passwd=123456
export passwd
openssl enc -aes-128-cbc -in plain.txt -out out.txt -pass env:passwd
/*从文件描述输入*/ 
openssl enc -aes-128-cbc -in plain.txt -out out.txt -pass fd:1  
/*从标准输入输入*/ 
openssl enc -aes-128-cbc -in plain.txt -out out.txt -pass stdin


3、固定salt值加密

复制代码 
xlzh@cmos:~$ openssl enc -aes-128-cbc -in plain.txt -out encrypt.txt -pass pass:123456 -P
salt=32F5C360F21FC12D
key=D7E1499A578490DF940D99CAE2E29EB1
iv =78EEB538897CAF045F807A97F3CFF498
xlzh@cmos:~$ openssl enc -aes-128-cbc -in plain.txt -out encrypt.txt -pass pass:123456 -P
salt=DAA482697BECAB46
key=9FF8A41E4AC011FA84032F14B5B88BAE
iv =202E38A43573F752CCD294EB8A0583E7
xlzh@cmos:~$ openssl enc -aes-128-cbc -in plain.txt -out encrypt.txt -pass pass:123456 -P -S 123
salt=1230000000000000
key=50E1723DC328D98F133E321FC2908B78
iv =1528E9AD498FF118AB7ECB3025AD0DC6
xlzh@cmos:~$ openssl enc -aes-128-cbc -in plain.txt -out encrypt.txt -pass pass:123456 -P -S 123
salt=1230000000000000
key=50E1723DC328D98F133E321FC2908B78
iv =1528E9AD498FF118AB7ECB3025AD0DC6
xlzh@cmos:~$
复制代码

可以看到,不使用-S参数,salt参数随机生成,key和iv值也不断变化,当slat值固定时,key和iv值也是固定的。

4、加解密后过程使用base64编解码

复制代码 
/*使用-a参数加密后使用base64编码*/
xlzh@cmos:~$ openssl enc -aes-128-cbc -in plain.txt -a -out encrypt.txt -pass pass:123456
/*使用-a参数解密前使用base64解码*/
xlzh@cmos:~$ openssl enc -aes-128-cbc -in encrypt.txt -d -a -out plain1.txt -pass pass:123456
/*文件一样*/
xlzh@cmos:~$ diff plain.txt plain1.txt 
/*加密后文件使用了base64编码*/
xlzh@cmos:~$ cat encrypt.txt 
U2FsdGVkX19KbCj9GMI1TBOQjP8JJcefIUH1tHwf/Z4=
复制代码

 5、手动指定Key和IV值

复制代码 
/*手动指定key和iv值,salt固定*/
xlzh@cmos:~$ openssl enc -aes-128-cbc -in plain.txt -out encrypt.txt  -K 1223 -iv f123 -p
salt=0B00000000000000
key=12230000000000000000000000000000
iv =F1230000000000000000000000000000
/*指定pass密码,不起作用,注意Key和IV值是16进制*/
xlzh@cmos:~$ openssl enc -aes-128-cbc -in plain.txt -out encrypt.txt  -K 1223 -iv f123 -p -pass pass:123456
salt=F502F4B8DE62E0E5
key=12230000000000000000000000000000
iv =F1230000000000000000000000000000
复制代码

 

3,RSA应用

产生1024位RSA私匙,用3DES加密它,口令为trousers,输出到文件rsaprivatekey.pem

# openssl genrsa -out rsaprivatekey.pem -passout pass:trousers -des3 1024

从文件rsaprivatekey.pem读取私匙,用口令trousers解密,生成的公钥匙输出到文件rsapublickey.pem

# openssl rsa -in rsaprivatekey.pem -passin pass:trousers -pubout -out rsapubckey.pem

用公钥匙rsapublickey.pem加密文件plain.txt,输出到文件cipher.txt

# openssl rsautl -encrypt -pubin -inkey rsapublickey.pem -in plain.txt -out cipher.txt

使用私钥匙rsaprivatekey.pem解密密文cipher.txt,输出到文件plain.txt

# openssl rsautl -decrypt -inkey rsaprivatekey.pem -in cipher.txt -out plain.txt

用私钥匙rsaprivatekey.pem给文件plain.txt签名,输出到文件signature.bin

# openssl rsautl -sign -inkey rsaprivatekey.pem -in plain.txt -out signature.bin

用公钥匙rsapublickey.pem验证签名signature.bin,输出到文件plain.txt

# openssl rsautl -verify -pubin -inkey rsapublickey.pem -in signature.bin -out plain

从X.509证书文件cert.pem中获取公钥匙,用3DES加密mail.txt,输出到文件mail.enc

# openssl smime -encrypt -in mail.txt -des3 -out mail.enc cert.pem

从X.509证书文件cert.pem中获取接收人的公钥匙,用私钥匙key.pem解密S/MIME消息mail.enc,结果输出到文件mail.txt

# openssl smime -decrypt -in mail.enc -recip cert.pem -inkey key.pem -out mail.txt

cert.pem为X.509证书文件,用私匙key,pem为mail.txt签名,证书被包含在S/MIME消息中,输出到文件mail.sgn

# openssl smime -sign -in mail.txt -signer cert.pem -inkey key.pem -out mail.sgn

验证S/MIME消息mail.sgn,输出到文件mail.txt,签名者的证书应该作为S/MIME消息的一部分包含在mail.sgn中

# openssl smime -verify -in mail.sgn -out mail.txt


4

申请证书

SSL常用于身份验证、数据加密等应用中,要使用SSL,我们密码有自己的证书。数字证书一般要向专业的认证公司(VeriSign)申请,并且都是收费的,某些情况下,我们只是想使用加密的数据通信,而不在乎认证,这时就可以自己制作一个证书,自己制作一个证书,有两种方式,一种是Self Signed,另一种是自己制作一个CA,然后由这个CA,来发布我们需要的证书。下面分别介绍这两个方法。

生成Self Signed证书

 

生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输,

输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护

#openssl genrsa -des3 -out selfsign.key 4096

 

#使用上面生成的key,生成一个certificate signing request (CSR)

#如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题,

#其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。

#openssl req -new -key selfsign.key -out selfsign.csr

 

#生成Self Signed证书selfsign.crt就是我们生成的证书了

#openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt

 

另外一个比较简单的方法就是用下面的命令,一次生成key和证书

#openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

 

生成自己的CA (Certificate Authority)

CA是证书的发布者,CA可以发布其他人的证书,把CA的证书加入系统信任的根证书后,由CA发布的证书也被系统所信任,所以,CAkey是必须小心保护的,一般都要加密保护,并且限制为root权限读写。

 

生成CAkey

#openssl genrsa -des3 -out ca.key 4096

 

#生成CA的证书

#openssl req -new -x509 -days 365 -key ca.key -out ca.crt

 

#生成我们的keyCSR这两步与上面Self Signed中是一样的

#openssl genrsa -des3 -out myserver.key 4096

#openssl req -new -key myserver.key -out myserver.csr

 

#使用ca的证书和key,生成我们的证书

#这里的set_serial指明了证书的序号,如果证书过期了(365天后)

#或者证书key泄漏了,需要重新发证的时候,就要加1

#openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt

 

查看证书

#查看KEY信息

#openssl rsa -noout -text -in myserver.key

 

#查看CSR信息

#openssl req -noout -text -in myserver.csr

 

#查看证书信息

#openssl x509 -noout -text -in ca.crt

 

#验证证书

#会提示self signed

#openssl verify selfsign.crt

 

#因为myserver.crt是幅ca.crt发布的,所以会验证成功

#openssl verify -CAfile ca.crt myserver.crt

 

去掉key的密码保护

#有时候每次都要输入密码太繁琐了,可以把Key的保护密码去掉

#openssl rsa -in myserver.key -out server.key.insecure

 

不同格式证书的转换

一般证书有三种格式:

PEM(.pem)前面命令生成的都是这种格式,

DER(.cer .der) Windows上常见

PKCS#12文件(.pfx .p12) Mac上常见

 

# PEM转换为DER

#openssl x509 -outform der -in myserver.crt -out myserver.der

 

# DER转换为PEM

#openssl x509 -inform der -in myserver.cer -out myserver.pem

 

# PEM转换为PKCS

#openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.crt -certfile ca.crt

 

# PKCS转换为PEM

#openssl pkcs12 -in myserver.pfx -out myserver2.pem -nodes

 

测试证书

Openssl提供了简单的clientserver工具,可以用来模拟SSL连接,做测试使用。

 

#连接到远程服务器

#openssl s_client -connect www.google.com.hk:443

 

#模拟的HTTPS服务,可以返回Openssl相关信息

# -accept用来指定监听的端口号

# -cert -key用来指定提供服务的key和证书

#openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www

 

#可以将key和证书写到同一个文件中

#cat myserver.crt myserver.key > myserver.pem

#使用的时候只提供一个参数就可以了

#openssl s_server -accept 443 -cert myserver.pem -www

 

#可以将服务器的证书保存下来

#openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem

#转换成DER文件,就可以在Windows下直接查看了

#openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer




Michaelwubo
关注
加密总结【OpenSSL、对称加密(DES、3DESAES)|非对称加密(RSA)、HASH散列、HMAC加密方案、数字签名、自签证书】
草帽~小子^的博客
04-29 1628
一、OpenSSL 二、Mac终端加密解密演示 桌面有点乱,先创建一个空的文件夹,生成的数据放在此文件夹中 1、生成私钥和公钥 获取到当前文件夹: cd /Users/caomaoxiaozi/Desktop 生成RSA秘钥,长度为1024bit openssl genrsa -out private.pem 1024 从私钥中提取公钥 openssl rsa -in priva...
openssl 命令
weixing100200的专栏
12-30 1236
测试加密套件 -cipher [root@i-3pedyvud ~]# openssl s_client -connect jinke.innovkids.com:443 -tls1_2 -cipher 3DES
OpenSSL RSA AES加密解密C++源码
08-30
OpenSSL RSA AES加密解密C++源码
OpenSSL实现RSA/AES加解密
希哈科技
05-26 1725
基本思想是这样的:1.用随机生成的32字节密码对文件经行AES加密;2.将随机密码用RSA的公钥加密;3.将加密后的随机密码和密文通过网络等渠道传送给接受者;4.接受者用RSA私钥解密随机密码;5.用解密后的随机密码解密密文;这么做的理由:1.RSA是非对称加密算法,安全性最好,即使公钥泄露也无法对密文进行解密。缺点是加密速度慢,只能加密小数据。因此用RSA加密仅32字节的随机密码;2.AES是对...
常见密码MD5DES/AESRSA/Base64的加密解密逆向
最新发布
为了生活,不得不努力奋斗!
07-08 3895
MD5是一种被广泛使用的线性散列算法,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整的一致性。DES全称为Data Encryption Standard,即数据加密标准,是一种使用密钥加密的算法。该加密算法是一种对称加密方式,其加密运算、解密运算需要使用的是同样的密钥(一组字符串)即可。结论:一旦看到了一个长度为32位的密文数据,该数据极有可能是通过md5算法进行的加密!Base64使用A–Z,a–z,0–9,+,/ 这64个字符实现对数据进行加密。
使用OpenSSL实现RSAAESMD5算法-VS2017-C++.rar
08-02
OpenSSL库实现的RSAAESMD5算法,用C++在Visual Studio 2017上写的,RSAAES的秘钥长度可调、生成秘钥、加密解密都可以实现。
openssl实现RSA+AES加密
Luobooooo的博客
07-13 758
RSA+AES加密是传输数据过程中常用的一种加密方式,通讯双方都要实现加密解密过程,作为java,有接口,直接调用就好了,然而作为C语言这一端,加解密起来就比较蛋疼了,最近折腾了一下,这里留个脚印 AES加密算法 AES是一种对称加密算法,有几种加密方式(ecb,cbc,cfb等等),这里不细说,可以看这里https://blog.csdn.net/qq_28205153/articl...
opensslaesrsa算法的使用
骑着蜗牛找马儿
06-24 3748
一、RSA 1.  算法原理 2.
OpenSSL之十三:证书和CA指令
wzfgd的博客
03-09 2584
证书的生成和 CA 指令的应用。
OpenSSL使用指南-0[1].5[定义].pdf
10-11
对称加密算法如DESAES、RC4等,非对称加密算法如RSA,哈希算法如MD5、SHA-1等,随机数算法则用于生成安全的加密种子。 **3. 编译和安装OpenSSL** 获取OpenSSL源码通常从官方网站下载最新版本的tar.gz压缩包。...
openssl-windows64
11-08
1. **加密算法**:OpenSSL 支持多种加密算法,包括对称加密(如AESDES、3DES)和非对称加密(如RSA、DSA、ECC)。对称加密用于大量数据的快速加解密,而非对称加密则用于安全性更高的密钥交换和签名。 2. **TLS/...
linux C实现MD5withRSA签名
01-15
该资源通过C客户端MD5withRSA算法签名,java服务端进行验签。之前一直对接不上,网上资料也不全,算法对接不同,padding方式不一等导致对接失败,故分享。
MD5,SHA,RSA,crc32,DES3,AES,BASE64的区别
lbit20131014的专栏
09-28 1566
MD5,SHA,crc32是不可逆的,没有密钥,一般用于数据完整性校验 BASE64是可逆,没有密钥,一般用于编码数据,把不可见字符转换成可见字符 RSADES3,AES是可逆的,有秘钥,用于加密...
如何使用OPENSSL中的RSAAES模块进行身份认证和业务加解密
jxhui423的博客
06-12 1172
RSA是一种非对称加密算法,计算复杂度高,常用于共享秘钥的协商,AES是一种对称加密算法,计算速度快,常用于通信业务的加解密。在互联网安全通信中通常把RSAAES组合使用,其中RSA用于共享秘钥的协商和身份认证,AES用于业务加解密。OPENSSL是一个安全套接字层密码库,提供了RSAAES等算法的C语言开发接口API,使用这些API可以方便的实现网络数据加解密的开发工作。下文详细说明了如何调用OPENSSL密码库中的RSAAES模块进行身份认证和业务加解密。
OpenSSL RSA 用法
热门推荐
long458的专栏
12-07 1万+
RSA基本结构 struct        {         int pad;         long version;         const RSA_METHOD *meth;         ENGINE *engine;         BIGNUM *n;         n=p*q         BIGNUM *e;         公开的加密指
常用的加密算法介绍(MD5(及加salt)/SHA/AES/RSA/数字签名)及openssl使用说明
liuxd3000的专栏
03-20 2123
MD5(及加salt)/SHA/AES/RSA/数字签名
数据加密——MD5、SHA、AESRSA
enternalstar的博客
05-22 3188
数据加密分为单向加密、对称加密和非对称加密。单向加密常用算法有MD5和SHA系列,对称加密常用算法有DES、3DESAES,非对称加密常见算法有RSA、ECC这里的数据可以是用户名、密码、文本、图片、PDF,小到几百b,达到几十G。一般而言,如果不是搞信息安全的,了解这些加密方式的优缺点和适用场景即可,不用去看其实现原理。(更详细的直接看参考链接)
OpenSSL之计算SHA1散列值
weixin_33809981的博客
05-09 469
SHA1散列函数是很常用的散列函数,它产生160bit(20字节)长度的散列值。 今天,我就来介绍利用OpenSSL现成的API来计算数据的SHA1散列值。 先来看OpenSSL的相关API声明: #include<openssl/sha.h> unsignedchar*SHA1(constunsignedchar*d,unsigne...
OpenSSLSHA1(1)-标准接口
路灬自己选
11-01 6293
OpenSSLSHA1(信息摘要算法)   SHA1算法是对MD5算法的升级,计算结果为20字节(160位),使用方法如下:  (1)   int SHA_Init(SHA_CTX *c);         // 初始化 SHA Contex, 成功返回1,失败返回0  (2)   int SHA_Update(SHA_CTX *c, const void *data, size_t
OpenSSL详解与应用
2. **密码算法库**: 这是OpenSSL的核心,包含了多种加密算法,如RSAAESDESMD5、SHA等公开密钥算法、对称加密算法和散列函数算法。同时,它也支持X509数字证书标准、PKCS12和PKCS7等安全标准。密码算法库使得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值