一、Base64
Base64编码可以成为密码学的基石。
简述:
可以将任意的二进制数据进行Base64编码。
所有的数据都能被编码为并只用65个字符
就能表示的文本文件。( 65字符:A~Z a~z 0~9 + / =
)
编码后的数据 小于 编码前数据的4/3,会 大于 1/3左右。
命令行进行Base64编码和解码
编码:base64 123.png -o 123.txt
解码:base64 123.txt -o test.png -D
Base64编码的原理
1)将所有字符转化为ASCII码;
2)将ASCII码转化为8位二进制;
3)将二进制3个归成一组(不足3个在后边补0)共24位,再拆分成4组,每组6位;
4)统一在6位二进制前补两个0凑足8位;
5)将补0后的二进制转为十进制;
6)从Base64编码表获取十进制对应的Base64编码;
Base64编码的说明
a.转换的时候,将三个byte的数据,先后放入一个24bit的缓冲区中,先来的byte占高位。
b.数据不足3byte的话,于缓冲区中剩下的bit用0补足。然后,每次取出6个bit,按照其值选择查表选择对应的字符作为编码后的输出。
c.不断进行,直到全部输入数据转换完成。
d.如果最后剩下两个输入数据,在编码结果后加1个“=”;
e.如果最后剩下一个输入数据,编码结果后加2个“=”;
f.如果没有剩下任何数据,就什么都不要加,这样才可以保证资料还原的正确性。
二、单向散列函数(MD5,SHA1,SHA512)
特点
- 加密后密文的长度是定长(32个字符的密文)的
- 如果明文不一样,那么散列后的结果一定不一样
- 如果明文一样,那么加密后的密文一定一样(对相同数据加密,加密后的密文一样)
- 所有的加密算法是公开的
- 不可以逆推反算(不能根据密文推算出明文),但是可以暴力破解,碰撞监测
加密优化
1)先加盐,然后再进行MD5
2)先乱序,再进行MD5加密
3)乱序|加盐,多次MD5加密等
4)使用消息认证机制,即HMAC-MD5-先对密钥进行加密,加密之后进行两次MD5散列
加密命令行
MD5加密-字符串 $ echo -n "520it" |md5
MD5加密-文件1 $ md5 abc.png
SHA1加密: $ echo -n "520it" |openssl sha -sha1
SHA256 $ echo -n "520it" |openssl sha -sha256
SHA512 $ echo -n "520it" |openssl sha -sha512
hmacMD5加密 $ echo -n "520it" |openssl dgst -md5 -hmac "123"
三、对称加密
经典算法
- DES 数据加密标准
- 3DES 使用3个密钥,对消息进行(密钥1·加密)+(密钥2·解密)+(密钥3·加密)
- AES 高级加密标准
加密/解密使用相同的密码,且是可逆的
加密模式:
ECB(Electronic CodeBook)分组模式,又称 电子密码本模式;
CBC(Cipher-block chaining)密文分组链接模式|电子密码链条
四、非对称加密
特点:
- 使用
公钥加密
,使用私钥解密
- 公钥是公开的,私钥保密
- 加密处理安全,但是性能极差
公匙 与 私匙 相对应 ,但 确保不被伪造的主要原因是
可以在认证机构上( 的数字签名 )查询 和 私匙 不公开
造成的结果就是 投资大,多个认证体系之间的交叉认证实现困难
。
经典算法RSA
1)RSA 原理
(1)求N,准备两个质数p和q,N = p x q
(2)求L,L是p-1和q-1的最小公倍数。L = lcm(p-1,q-1)
(3)求E,E和L的最大公约数为1(E和L互质)
(4)求D,E x D mode L = 1
2)RSA加密小实践
(1)p = 17,q = 19 =>N = 323
(2)lcm(p-1,q-1)=>lcm(16,18)=>L= 144
(3)gcd(E,L)=1 =>E=5
(4)E乘以几可以mode L =1? D=29可以满足
(5)得到公钥为:E=5,N=323
(6)得到私钥为:D=29,N=323
(7)加密 明文的E次方 mod N = 123的5次方 mod 323 = 225(密文)
(8)解密 密文的D次方 mod N = 225的29次方 mod 323 = 123(明文)
openssl生成密钥命令
作用 | 命令 |
---|---|
生成强度是 512 的 RSA 私钥: | openssl genrsa -out private.pem 512 |
以明文输出私钥内容: | openssl rsa -in private.pem -text -out private.txt |
校验私钥文件: | openssl rsa -in private.pem -check |
从私钥中提取公钥: | openssl rsa -in private.pem -out public.pem -outform PEM -pubout |
以明文输出公钥内容: | openssl rsa -in public.pem -out public.txt -pubin -pubout -text |
使用公钥加密小文件: | openssl rsautl -encrypt -pubin -inkey public.pem -in msg.txt -out msg.bin |
使用私钥解密小文件: | openssl rsautl -decrypt -inkey private.pem -in msg.bin -out a.txt |
将私钥转换成 DER 格式: | openssl rsa -in private.pem -out private.der -outform der |
将公钥转换成 DER 格式: | openssl rsa -in public.pem -out public.der -pubin -outform der |
五、数字签名
应用场景
需要严格验证发送方身份信息情况
数字签名原理
1)客户端处理
①对”消息”进行 Hash 得到 “消息摘要”
②发送方使用自己的 私钥 对”消息摘要” 加密( 数字签名 )
③把 数字签名 附着在”报文”的末尾一起发送给接收方
2)服务端处理
①对”消息” Hash 得到 “报文摘要”
②使用 公钥 对” 数字签名 ” 解密
③对结果进行匹配
六、数字证书
简介
证书和驾照很相似,里面记有姓名、组织、地址等个人信息,以及属于此人的公钥,并有认证机构施加数字签名,只要看到公钥证书,我们就可以知道认证机构认证该公钥的确属于此人
数字证书的内容
1)公钥
2)认证机构的**数字签名**
证书的生成步骤
作用 | 命令 |
---|---|
生成私钥 | openssl genrsa -out private.pem 1024 |
创建证书请求 | openssl req -new -key private.pem -out rsacert.csr |
生成证书并签名,有效期10年 | openssl x509 -req -days 3650 -in rsacert.csr -signkey private.pem -out rsacert.crt |
将 PEM 格式文件转换成 DER 格式 | openssl x509 -outform der -in rsacert.crt -out rsacert.der |
导出P12文件 | openssl pkcs12 -export -out p.p12 -inkey private.pem -in rsacert.crt |
数字证书 需要 数字签名 加密认证 , 而 数字签名 应用了 非对称加密