SQLCipher核心思想

于 2023-06-20 10:06:21 发布
阅读量858 收藏 1
点赞数
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lidw0431/article/details/131300871
版权

加密原理

+--------------------------------------+----------------+--------------------+
|            page data                 |     iv         |     hmac           |
+--------------------------------------+----------------+--------------------+

iv是一段随机数,可以保证每一页的iv值都不一样。和page data一起作用,用于生成hmac值。
sizeof(page data) = page sz - reserved sz
hmac是一段校验和,可以用来检查page data是否损坏。
sizeof(iv + hmac) = reserved sz

加密实现是通过派生后的key+盐值,对原始page加密,生成加密数据。然后通过iv,对加密数据生成校验和hmac值。

Set key / Attach

SQLCipher的实现方式是在读、写page的时候实现的加、解密。通过pragma key和attach流程中可以分别设置key,在这一过程中只是注册了加解密的实现算法、保存了key。在后面的第一次操作中才开始派生key。

pragma key的入口函数是sqlite3Pragma->sqlite3_key_v2,attach的入口函数是attachFunc。

在这两个函数内,实际上都是执行sqlite3CodecAttach操作

int sqlite3CodecAttach(
    sqlite3* db,
    int nDb,            // 数据库数组db->aDb的索引,前两个分别是main和temp,后面的是attach的
    const void *zKey,   // 密文或者密钥的地址
    int nKey            // 密钥的长度,如果是密文,这里是-1
);

在这个函数里。主要执行了以下动作:

  • sqlcipher_activate
    注册了全局的sqlcipher_provider *default_provider。这个里面主要存了一些加解密算法的实现函数的指针。可以通过宏选择加解密算法,这些算法都是利用第三方的开源加密库。比如SQLCIPHER_CRYPTO_CC,可以选择common crypto算法,实现放在crypto_cc.c里。

  • sqlcipher_codec_ctx_init
    这个函数主要填充了codec_ctx对象,这个对象对应于一个数据库。这里面的一些关于加密的参数都先设置成了默认值,密文(或密钥)填充进两个cipher_ctx——read_ctx和write_ctx里。

    typedef struct {
  int derive_key;               // 是否需要派生key。设置原始key后置位,派生key后取消置位
  int pass_sz;                  // 原始key的size。因为有可能是blob,所以需要size
  unsigned char *key;           // 派生后的key。可能是用户设置的HEX key转换成二进制得到,或者由用户设置的密文和盐值经过kdf_iter次派生得到
  unsigned char *hmac_key;      // 由key和hmac_kdf_salt经过fast_kdf_iter次派生得到
  unsigned char *pass;          // 配置的原始key,可能是密文、x'HEX key'、x'HEX key + HEX kdf_salt'
  char *keyspec;                // x'HEX key + HEX kdf_salt'
} cipher_ctx;

typedef struct {
  int store_pass;               // 是否要保存原始key。如果设成false,应该在派生key后清空原始key
  int kdf_iter;                 // key的派生次数
  int fast_kdf_iter;            // hmac_key的派生次数
  int kdf_salt_sz;
  int key_sz;
  int iv_sz;
  int block_sz;
  int page_sz;
  int keyspec_sz;
  int reserve_sz;
  int hmac_sz;
  int plaintext_header_sz;
  int hmac_algorithm;
  int kdf_algorithm;
  unsigned int skip_read_hmac;
  unsigned int need_kdf_salt;   // 是否需要取kdf_salt。默认置位,取到kdf_salt后取消置位
  unsigned int flags;           // 默认值DEFAULT_CIPHER_FLAGS,标志是否要hmac校验、大小端
  unsigned char *kdf_salt;      // 生成key的盐值。优先使用用户配置的,其次从文件头取,取不到用随机数
  unsigned char *hmac_kdf_salt; // kdf_salt的每字节 XOR hmac_salt_mask
  unsigned char *buffer;        // 预申请的一段内存,用于加、解密的缓存区,大小为page_sz
  Btree *pBt;
  cipher_ctx *read_ctx;         // 读page用的密钥配置
  cipher_ctx *write_ctx;        // 写page用的密钥配置
  sqlcipher_provider *provider; // 默认的provider,算法可以通过宏配置
  void *provider_ctx;
} codec_ctx;

  • sqlite3PagerSetCodec
    这个函数把加解密的函数注册进了pager里面。这些函数后面在读写page的时候会用到。

    db->aDb[nDb]->pBt->pBt->pPager->xCodec;     // sqlite3Codec
db->aDb[nDb]->pBt->pBt->pPager->xCodecFree; // sqlite3FreeCodecArg
db->aDb[nDb]->pBt->pBt->pPager->pCodec;     // codec_ctx

    最重要的是sqlite3Codec这个函数,这个函数实现了key的派生,对页面的加密、解密。代码中没有直接调用过这个函数,而是把这个函数注册进pager,又把pager->xCodec封装成两个宏。CODEC1用于解密,CODEC2用于加密。

    # define CODEC1(P,D,N,X,E) \
    if( P->xCodec && P->xCodec(P->pCodec,D,N,X)==0 ){ E; }
# define CODEC2(P,D,N,X,E,O) \
    if( P->xCodec==0 ){ O=(char*)D; }else \
    if( (O=(char*)(P->xCodec(P->pCodec,D,N,X)))==0 ){ E; }

    P代表pager,D代表输入数据pData(如果是解密操作,也是输出数据),N代表pageno,X代表操作码CODEC_READ_OP或CODEC_WRITE_OP或CODEC_JOURNAL_OP,E代表执行出错时的动作,O代表加密后的输出数据。

    sqlite3Codec执行以下动作:

    • sqlcipher_codec_key_derive
      派生key。检查derive_key标志位,如果置位,执行sqlcipher_cipher_ctx_key_derive,派生key,然后清除derive_key标志位。先read_ctx后write_ctx,如果两个ctx里的原始key一样,派生一个就行,另一个copy过去。然后检查store_pass标志位,如果未置位,需要清空两个原始key。
    • 根据不同的操作码分别做处理。如果是CODEC_READ_OP,利用read_ctx执行解密操作,page数据pData解密后,缓存到buffer里,然后再copy buffer数据到pData中,返回pData;如果是CODEC_WRITE_OP,利用write_ctx执行加密操作,pData数据加密后,缓存到buffer里,返回buffer;如果是CODEC_JOURNAL_OP,也是执行加密操作,不过是利用read_ctx使用原始key加密日志数据,这是为了防止rekey事务失败,需要rollback的场景,此时需要从journal文件中读取数据。具体加解密、hmac校验的动作在sqlcipher_page_cipher里实现。

Rekey

Rekey是对一个加密数据库更改密钥的操作。

在set key的流程中,有一个生成reat_ctx和write_ctx的过程sqlcipher_codec_ctx_init。这两个对象绝大多数情况都是相同的,只有在rekey过程中不同。

在rekey过程中,正是利用了这两个对象实现了更改密文的操作。可以分为三步:

  1. 设置新key到write_ctx;
  2. 逐页读出后重新写入。读的过程中使用read_ctx解密,写的过程中使用write_ctx加密;
  3. 复制write_ctx到read_ctx中。

这三步完成后,rekey操作成功。老的数据都已经转换成新key加密的了,再写入新数据也是用新key加密的。

Export

Export可以实现将一个加密数据库导出到一个明文数据库、将一个明文数据库导出到一个加密数据库,将一个加密数据库导出到一个不同key的加密数据库中。export过程的内部实现方法是sqlcipher_exportFunc。该函数内实际上是利用原生的sqlite语句实现了导出。

下面的语句执行后可以得到 CREATE table/index 或者 INSERT INTO SELECT 语句,然后再执行查询出的语句即可实现复制。

-- CREATE table/index/unique index ...
SELECT sql FROM source.sqlite_schema WHERE type='table' AND name!='sqlite_sequence' AND rootpage>0;
SELECT sql FROM source.sqlite_schema WHERE sql LIKE 'CREATE INDEX %%';
SELECT sql FROM source.sqlite_schema WHERE sql LIKE 'CREATE UNIQUE INDEX %%';

-- INSERT INTO target.xxx SELECT * FROM main.xxx
SELECT 'INSERT INTO target.' || quote(name) || '
          SELECT * FROM source.' || quote(name) || ';'
FROM source.sqlite_schema
WHERE type = 'table' AND name!='sqlite_sequence' AND rootpage>0;

-- INSERT INTO target.sqlite_sequence SELECT * FROM main.sqlite_sequence
SELECT 'INSERT INTO target.' || quote(name) || '
          SELECT * FROM source.' || quote(name) || ';'
FROM target.sqlite_schema
WHERE name=='sqlite_sequence';

下面的语句可以直接执行。

INSERT INTO target.sqlite_schema
  SELECT type, name, tbl_name, rootpage, sql
  FROM source.sqlite_schema
  WHERE type='view' OR type='trigger' OR (type='table' AND rootpage=0)";

这两部分sql执行完,实际上是实现了export的功能。

太阳别落下啊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用 SQLCipher加密数据库的错误总结(file is not a database: , while compiling: select count(*) from sqlite_master
少年阿涛
08-05 3万+
使用经历如下   由于项目中需要用到加密数据库,使用特意用了github的经典项目 sqlcipher, 使用起来也很简单,和原生的数据库没有差异,甚至连类名都一样,只是包路径需要替换为Sqlcipher的相应路径。还有获取数据库的方式需要加上密码,如 SQLiteOpenHelper.getWritableDatabase(“secret”)。一开始接入也没有想太多,就直接用了。没想到,后来b...
sqlcipher2.1.1
01-11
1. **SQLCipher核心功能:** - **数据加密:** SQLCipher使用AES(Advanced Encryption Standard)高级加密标准,对SQLite数据库进行256位的加密,确保数据安全。 - **透明性:** SQLCipher与SQLite兼容,应用程序...
SqlCipher的编译和使用
m0_52726547的博客
06-14 2402
SqlCipher的编译编译前,先安装openssl和tcl.
sqlcipher自己编译
harborian的博客
05-07 7547
问题的提出 sqlcipher是sqlite的加密版本,提供源代码,但是在编译时,尤其是在编译windows版本时,需要一些技巧。 1.sqlite和sqlcipher的下载 1.1sqlite源码下载 sqlite可以从https://www.sqlite.org上下载最新版本。amalgamation版即为混合版,把所有的c源码都集中到了sqlite3.c文件中去,工程源代码只包含sqlite...
SQLCipher使用方法
r17171709的专栏
07-25 1万+
最近,在搞省市数据库的时候,想从b
使用SQLCipher 对sqlite数据库进行解密
热门推荐
tianyitianyi1的专栏
04-27 2万+
步骤归纳: 以下为原文,可以忽略 转载自:http://blog.csdn.net/majiakun1/article/details/46551137 一.  1.安装sqlcipher命令,首先需要安装brew,   在终端输入   ruby -e "$(curl -fsSL https://raw.githubusercontent.com/
sqlite数据库加密php,分享SQLCipher数据库如何加解密
weixin_31146939的博客
04-05 561
介绍:使用SQLite数据库的时候,有时候对于数据库要求比较高,特别是在iOS8.3之前,未越狱的系统也可以通过工具拿到应用程序沙盒里面的文件,这个时候我们就可以考虑对SQLite数据库进行加密,这样就不用担心sqlite文件泄露了通常数据库加密一般有两种方式1对所有数据进行加密2对数据库文件加密第一种方式虽然加密了数据,但是并不完全,还是可以通过数据库查看到表结构等信息,并且对于数据库的数据,数...
sqlcipher 2.1 and 3.0.1
09-09
SQLCipher 是一个开源的、基于 SQLite 的数据库加密技术,它为 SQLite 提供了透明的数据加密功能,确保在存储和检索数据时保持数据的安全性。在标题提到的 "sqlcipher 2.1 and 3.0.1" 中,我们关注的是 SQLCipher 的...
SQLcipher2.1.rar
04-15
SQLcipher是一款开源的数据库加密工具,它为SQLite数据库提供了强大的数据加密功能,确保在存储和传输数据时的数据安全。在标题“SQLcipher2.1.rar”中,我们了解到这是一个关于SQLcipher的版本2.1的压缩包文件。...
Sqlcipher .net 版
10-09
Sqlcipher for .NET 是一个专为.NET框架设计的开源数据库加密解决方案,它是SQLite数据库的扩展,主要用于提升数据安全性。SQLite本身是一个轻量级、无服务器、自包含的SQL数据库引擎,而Sqlcipher则在其基础上增加...
sqlcipher 加密数据库查看工具3.0.1
09-17
sqlcipher 数据的查看工具 但对应是sqlcipher 3.0 以后加密的数据 sqlcipher 2.x加密的不可以 需使用 http://download.csdn.net/detail/zhanghw0917/7931759
SQLCipher解密移动端加密的db文件
03-17
该资源为解密通过SQLCipher在Android或者iOS平台加密的数据库,方法简单高效,没有命令语句,只是一个简单的activity,只需要运行,便可解密!
c语言调用sqlite数据库
06-27
c语言调用sqlite数据库中表的内容,非常实用
SQLcipher 2.1.1
10-12
SQLcipher 2.1.1 是一款用于加密SQLite数据库的开源库,主要目的是在存储敏感数据时提供安全性。SQLite是一个轻量级的数据库管理系统,广泛应用于各种操作系统和应用程序中,而SQLcipher则增强了其安全特性,确保...
#Pragma 指令
wangkaiming123456的专栏
12-31 384
在所有的预处理指令中,#Pragma 指令可能是最复杂的了,它的作用是设定编译器的状态或者是指示编译器完成一些特定的动作。 #pragma指令对每个编译器给出了一个方法,在保持与C和C++语言完全兼容的情况下,给出主机或操作系统专有的特征。依据定义,编译指示是机器或操作系统专有的,且对于每个编译器都是不同的。 其格式一般为:  #Pragma Para 其中Para 为参数,下面来看一些常用的
数据库二
qq_43243907的博客
11-19 177
数据库二 一、linux有关sqlite3的点命令 1、启动:sqlite3启动数据库 2、创建:sqlite3 mydb.txt创建这个数据库 3、数据库名就是main 4、Sqlite3的命令是.开头,sql语言;结束(点,分号) 5、.database查看数据库,.tables查看表,schema[表名]看表结构(属性,字段) 6、Pri.sql是一个脚本,可以直接在里面添加sql语句,然后执行这个脚本.read 文件名 7、.schema tab_name查看表的结构 8、.output 文件
sqlcipher加密数据库
chenzujie的博客
02-13 1512
今天介绍一个在之前公司用到的技术(发现文章一直在草稿箱里没发,今天发了),觉得还不错,分享出来。在android开发中有时候需要对数据库进行加密处理,不管这个数据库是我们程序自己创建的还是我们自己从外部导入的已经存在的数据库,我们都有可能需要对它进行加密。加密方式无非两种,一种是对读写的内容进行加密,另一种就是对数据库整个文件进行加密。第一种方式就非常多了,这里不做介绍,今天主要介绍第二种方式——
SQLite指南(5) - PRAGMA命令用法(完整)
hpdellibm的专栏
06-28 9116
如若转载,请加上本文链接,以示尊重个人劳动,谢谢。 http://iihero.iteye.com/blog/1189633 PRAGMA语句是SQLITE数据的SQL扩展,是它独有的特性,主要用于修改SQLITE库或者内数据查询的操作。它采用与SELECT、INSERT等语句一样的形式来发出请求,但也有几个重要的不同: 1. 特定的PRAGMA语句可能被移走,新的PRAGMA语句
sqlcipher2.1.0 sqlcipher package
最新发布
09-07
SQLCipher是一个开源的加密数据库引擎,提供对SQLite数据库的加密和解密功能。SQLCipher是基于SQLite构建的扩展,通过使用256位AES加密算法对数据库文件进行加密,可确保数据库中的敏感数据在存储和传输过程中的安全性。 SQLCipher具有以下特点: 1. 数据库级别的加密:SQLCipher对整个数据库文件进行加密,而不仅仅是某个表或列。这样就保证了数据库中的所有数据都得到了保护,而不仅仅是特定的数据对象。 2. 透明的加密和解密过程:使用SQLCipher进行加密和解密时,开发人员无需过多关注加密过程的细节,只需要使用与常规SQLite相同的API进行数据库操作即可。SQLCipher会在底层自动处理加密和解密的过程,对开发人员而言是透明的。 3. 数据库安全性增强:通过将数据库加密,SQLCipher提供了一种增强数据库安全性的方法。即使数据库文件被未经授权的人访问,也无法直接读取敏感数据。 4. 跨平台支持:SQLCipher可以在多种操作系统和开发平台上使用,包括Windows、Linux、MacOS和Android等。 总结来说,SQLCipher是对SQLite进行加密扩展的开源数据库引擎,可以保护数据库中的敏感数据,在数据存储和传输过程中提供安全保障。它可以无缝地替代常规SQLite,并且提供了对加密和解密过程的透明支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值