iOS使用Security.framework进行RSA 加密解密签名和验证签名

最新推荐文章于 2024-05-08 11:33:01 发布
最新推荐文章于 2024-05-08 11:33:01 发布
阅读量164 收藏
点赞数
文章标签: 移动开发 密码学
原文链接:http://www.cnblogs.com/cocoajin/p/6183443.html
版权

iOS 上 Security.framework为我们提供了安全方面相关的api;

Security框架提供的RSA在iOS上使用的一些小结

  • 支持的RSA keySize 大小有:512,768,1024,2048位
  • 支持的RSA 填充方式有三种:NOPadding,PKCS1,OAEP 三种方式 ,填充方式影响最大分组加密数据块的大小
  • 签名使用的填充方式PKCS1, 支持的签名算法有 sha1,sha256,sha224,sha384,sha512
  • Nopadding填充最大数据块为 下面接口 SecKeyGetBlockSize 大小; 
  • PKCS1 填充方式最大数据为 SecKeyGetBlockSize大小 减去11
  • OAEP 填充方式最大数据为 SecKeyGetBlockSize 大小减去 42
  • RSA加密解密签名,适合小块的数据处理,大量数量需要处理分组逻辑;密码学中推荐使用对称加密进行数据加密,使用RSA来加密对称密钥
  • iOS10,以及mac 10.12中新增加了几个接口,以下测试用的是老接口,支持iOS2.0+

在这里说明一下RSA 相关的接口使用和示例;

1. 主要接口有

/*!
    
//生成密钥对

*/
OSStatus SecKeyGeneratePair(CFDictionaryRef parameters, SecKeyRef * _Nullable CF_RETURNS_RETAINED publicKey,
    SecKeyRef * _Nullable CF_RETURNS_RETAINED privateKey) __OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_2_0);



//加密
OSStatus SecKeyEncrypt(
    SecKeyRef           key,
    SecPadding          padding,
    const uint8_t        *plainText,
    size_t              plainTextLen,
    uint8_t             *cipherText,
    size_t              *cipherTextLen)
    __OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_2_0);



//解密
OSStatus SecKeyDecrypt(
    SecKeyRef           key,                /* Private key */
    SecPadding          padding,            /* kSecPaddingNone,
                                               kSecPaddingPKCS1,
                                               kSecPaddingOAEP */
    const uint8_t       *cipherText,
    size_t              cipherTextLen,        /* length of cipherText */
    uint8_t             *plainText,    
    size_t              *plainTextLen)        /* IN/OUT */
    __OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_2_0);


//签名
OSStatus SecKeyRawSign(
    SecKeyRef           key,
    SecPadding          padding,
    const uint8_t       *dataToSign,
    size_t              dataToSignLen,
    uint8_t             *sig,
    size_t              *sigLen)
    __OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_2_0);



//验证签名
OSStatus SecKeyRawVerify(
    SecKeyRef           key,
    SecPadding          padding,
    const uint8_t       *signedData,
    size_t              signedDataLen,
    const uint8_t       *sig,
    size_t              sigLen)
    __OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_2_0);



//分组加密的数据块大小
size_t SecKeyGetBlockSize(SecKeyRef key)
    __OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_2_0);

 

2. 首先生成RSA密钥对,生成1024位,即是 128字节

#define kRSA_KEY_SIZE 1024

@interface ViewController : UIViewController
{
    SecKeyRef publicKeyRef; //公钥
    SecKeyRef privateKeyRef;//私钥
}




//生成RSA密钥对,公钥和私钥,支持的SIZE有
// sizes for RSA keys are: 512, 768, 1024, 2048.
- (void)generateRSAKeyPair:(int )keySize
{
    
    OSStatus ret = 0;
    publicKeyRef = NULL;
    privateKeyRef = NULL;
    ret = SecKeyGeneratePair((CFDictionaryRef)@{(id)kSecAttrKeyType:(id)kSecAttrKeyTypeRSA,(id)kSecAttrKeySizeInBits:@(keySize)}, &publicKeyRef, &privateKeyRef);
    NSAssert(ret==errSecSuccess, @"密钥对生成失败:%d",ret);
    
    NSLog(@"%@",publicKeyRef);
    NSLog(@"%@",privateKeyRef);
    NSLog(@"max size:%lu",SecKeyGetBlockSize(privateKeyRef));
    
}

 

3. 使用上面生成的密钥对进行加密解密测试

//公钥加密私钥密钥测试
/** 三种填充方式区别
 kSecPaddingNone      = 0,   要加密的数据块大小<=SecKeyGetBlockSize的大小,如这里128
 kSecPaddingPKCS1     = 1,   要加密的数据块大小<=128-11
 kSecPaddingOAEP      = 2,   要加密的数据块大小<=128-42
  密码学中的设计原则,一般用RSA来加密 对称密钥,用对称密钥加密大量的数据
  非对称加密速度慢,对称加密速度快
 */
- (void)testRSAEncryptAndDecrypt
{
    [self generateRSAKeyPair:kRSA_KEY_SIZE];

    NSData *srcData = [@"0123456789" dataUsingEncoding:NSUTF8StringEncoding];
    NSLog(@"%@",srcData);
    uint8_t encData[kRSA_KEY_SIZE/8] = {0};
    uint8_t decData[kRSA_KEY_SIZE/8] = {0};
    size_t blockSize = kRSA_KEY_SIZE / 8 ;
    OSStatus ret;
    
    
    ret = SecKeyEncrypt(publicKeyRef, kSecPaddingNone, srcData.bytes, srcData.length, encData, &blockSize);
    NSAssert(ret==errSecSuccess, @"加密失败");
    
    
    ret = SecKeyDecrypt(privateKeyRef, kSecPaddingNone, encData, blockSize, decData, &blockSize);
    NSAssert(ret==errSecSuccess, @"解密失败");
    
    NSData *dedData = [NSData dataWithBytes:decData length:blockSize];
    NSLog(@"dec:%@",dedData);
    if (memcmp(srcData.bytes, dedData.bytes, srcData.length)==0) {
        NSLog(@"PASS");
    }
}

 

4. 使用公钥密钥进行数据签名和验证签名

   对数据签名:首先对原始数据进行hash计算,可以得到数据的hash值;然后对hash值进行签名;

- (void)testSignAndVerify
{
    [self generateRSAKeyPair:kRSA_KEY_SIZE];

    
    NSString *tpath = [[NSBundle mainBundle] pathForResource:@"src.txt" ofType:nil];
    NSData *ttDt = [NSData dataWithContentsOfFile:tpath];
  //使用了下面封装的hash接口
    NSData *sha1dg = [ttDt hashDataWith:CCDIGEST_SHA1];
    
    OSStatus ret;
    
    
    //私钥签名,公钥验证签名
    size_t siglen = SecKeyGetBlockSize(privateKeyRef);
    uint8_t *sig = malloc(siglen);
    bzero(sig, siglen);
    ret = SecKeyRawSign(privateKeyRef, kSecPaddingPKCS1SHA256, sha1dg.bytes, sha1dg.length, sig, &siglen);
    NSAssert(ret==errSecSuccess, @"签名失败");
    
    
    ret = SecKeyRawVerify(publicKeyRef, kSecPaddingPKCS1SHA256, sha1dg.bytes, sha1dg.length,sig, siglen);
    NSAssert(ret==errSecSuccess, @"验证签名失败");
    
    if (ret==errSecSuccess) {
        NSLog(@"SIGN VERIFY PASS");
    }
}

 

5. 另外 iOS上 CommonCrypto/CommonDigest.h 中提供了密码学中常用的hash算法

  如下我封装了一个NSData的分类,可以在签名中直接使用

  支持的hash算法有 md2,md4,md5,sha1,sha224,sha256,sha384,sha512

//
//  NSData+KKHASH.h
//  SecurityiOS
//
//  Created by cocoa on 16/12/15.
//  Copyright © 2016年 dev.keke@gmail.com. All rights reserved.
//

#import <Foundation/Foundation.h>

typedef enum : NSUInteger {
    //md2 16字节长度
    CCDIGEST_MD2 = 1000,
    //md4 16字节长度
    CCDIGEST_MD4,
    //md5 16字节长度
    CCDIGEST_MD5,
    //sha1 20字节长度
    CCDIGEST_SHA1,
    //SHA224 28字节长度
    CCDIGEST_SHA224,
    //SHA256 32字节长度
    CCDIGEST_SHA256,
    //SHA384 48字节长度
    CCDIGEST_SHA384,
    //SHA512 64字节长度
    CCDIGEST_SHA512,
} CCDIGESTAlgorithm;

@interface NSData (KKHASH)

/**
    计算数据的hash值,根据不同的算法
 */
- (NSData *)hashDataWith:(CCDIGESTAlgorithm )ccAlgorithm;


/**
    返回 hex string的 data
 */
- (NSString *)hexString;


@end
View Code 
//
//  NSData+KKHASH.m
//  SecurityiOS
//
//  Created by cocoa on 16/12/15.
//  Copyright © 2016年 dev.keke@gmail.com. All rights reserved.
//

#import "NSData+KKHASH.h"
#include <CommonCrypto/CommonDigest.h>

@implementation NSData (KKHASH)
- (NSData *)hashDataWith:(CCDIGESTAlgorithm )ccAlgorithm
{
    NSData *retData = nil;
    if (self.length <1) {
        return nil;
    }
    
    unsigned char *md;
    
    switch (ccAlgorithm) {
        case CCDIGEST_MD2:
        {
            md = malloc(CC_MD2_DIGEST_LENGTH);
            bzero(md, CC_MD2_DIGEST_LENGTH);
            CC_MD2(self.bytes, (CC_LONG)self.length, md);
            retData = [NSData dataWithBytes:md length:CC_MD2_DIGEST_LENGTH];
        }
            break;
        case CCDIGEST_MD4:
        {
            md = malloc(CC_MD4_DIGEST_LENGTH);
            bzero(md, CC_MD4_DIGEST_LENGTH);
            CC_MD4(self.bytes, (CC_LONG)self.length, md);
            retData = [NSData dataWithBytes:md length:CC_MD4_DIGEST_LENGTH];

        }
            break;
        case CCDIGEST_MD5:
        {
            md = malloc(CC_MD5_DIGEST_LENGTH);
            bzero(md, CC_MD5_DIGEST_LENGTH);
            CC_MD5(self.bytes, (CC_LONG)self.length, md);
            retData = [NSData dataWithBytes:md length:CC_MD5_DIGEST_LENGTH];

        }
            break;
        case CCDIGEST_SHA1:
        {
            md = malloc(CC_SHA1_DIGEST_LENGTH);
            bzero(md, CC_SHA1_DIGEST_LENGTH);
            CC_SHA1(self.bytes, (CC_LONG)self.length, md);
            retData = [NSData dataWithBytes:md length:CC_SHA1_DIGEST_LENGTH];
            
        }
            break;
        case CCDIGEST_SHA224:
        {
            md = malloc(CC_SHA224_DIGEST_LENGTH);
            bzero(md, CC_SHA224_DIGEST_LENGTH);
            CC_SHA224(self.bytes, (CC_LONG)self.length, md);
            retData = [NSData dataWithBytes:md length:CC_SHA224_DIGEST_LENGTH];
            
        }
            break;
        case CCDIGEST_SHA256:
        {
            md = malloc(CC_SHA256_DIGEST_LENGTH);
            bzero(md, CC_SHA256_DIGEST_LENGTH);
            CC_SHA256(self.bytes, (CC_LONG)self.length, md);
            retData = [NSData dataWithBytes:md length:CC_SHA256_DIGEST_LENGTH];
            
        }
            break;
        case CCDIGEST_SHA384:
        {
            md = malloc(CC_SHA384_DIGEST_LENGTH);
            bzero(md, CC_SHA384_DIGEST_LENGTH);
            CC_SHA384(self.bytes, (CC_LONG)self.length, md);
            retData = [NSData dataWithBytes:md length:CC_SHA384_DIGEST_LENGTH];
            
        }
            break;
        case CCDIGEST_SHA512:
        {
            md = malloc(CC_SHA512_DIGEST_LENGTH);
            bzero(md, CC_SHA512_DIGEST_LENGTH);
            CC_SHA512(self.bytes, (CC_LONG)self.length, md);
            retData = [NSData dataWithBytes:md length:CC_SHA512_DIGEST_LENGTH];
            
        }
            break;
            
        default:
            md = malloc(1);
            break;
    }
    
    free(md);
    md = NULL;
    
    return retData;
    
}


- (NSString *)hexString
{
    NSMutableString *result = nil;
    if (self.length <1) {
        return nil;
    }
    result = [[NSMutableString alloc] initWithCapacity:self.length * 2];
    for (size_t i = 0; i < self.length; i++) {
        [result appendFormat:@"%02x", ((const uint8_t *) self.bytes)[i]];
    }
    return result;
}


@end
View Code

 

6. 另外如果密钥由服务器生成,可以生成p12文件,来在ios上调用接口导入开发

OSStatus SecPKCS12Import(CFDataRef pkcs12_data, CFDictionaryRef options,
    CFArrayRef * __nonnull CF_RETURNS_RETAINED items) __OSX_AVAILABLE_STARTING(__MAC_10_6, __IPHONE_2_0);

7. 另外为了配合验证,可以用openssl 命令对数据进行RSA加密解密

    //使用公钥加密 1024位密钥 ,128字节
    //openssl rsautl  -encrypt -out pubenc.txt  -in src.txt  -inkey public.pem -pubin
    
    //使用私钥解密
    //openssl rsautl -decrypt -in pubenc.txt -inkey private.pem -out pridec.txt

 

 

总结:

另外RSA密钥,私钥保存在手机上是不安全的;

 一般在非越狱的手机上,我们可以把生成的SecKeyRef 保存在 keychain中;

 但是在越狱的手机上,也是不安全的,因为可以导出keychain中的所有数据;

 没有绝对的安全,根据业务场景来实际开发吧

 封装工具:https://github.com/cocoajin/Security-iOS

参考:

https://developer.apple.com/library/content/documentation/Security/Conceptual/cryptoservices/CryptographyConcepts/CryptographyConcepts.html#//apple_ref/doc/uid/TP40011172-CH8-SW1

 

https://developer.apple.com/library/content/samplecode/CryptoExercise/Introduction/Intro.html#//apple_ref/doc/uid/DTS40008019

https://developer.apple.com/library/content/samplecode/CryptoCompatibility/Introduction/Intro.html#//apple_ref/doc/uid/DTS40013654

转载于:https://www.cnblogs.com/cocoajin/p/6183443.html

weixin_34198797
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mobile Security Framework
01-02
MobSF是Mobile Security Framework的缩写,是一个移动端应用安全问题检出的框架和工具,它适用于Android/iOS/Windows,能够执行动态和静态的恶意软件的分析和检测。支持Android和iOS以及Windows移动应用,无论是二进制方式还是压缩的源代码都可以进行检测。MobSF将数据保持在本地环境之中,所以可以不必担心应用和相关的数据被送至云端。另外,对于ssl链接/简单的加密方式/硬编码的密件信息等MobSF也进行了重点地关注。 --------------------- 作者:liumiaocn 来源:CSDN 原文:https://blog.csdn.net/liumiaocn/article/details/80440977 版权声明:本文为博主原创文章,转载请附上博文链接!
iOS security.framework
wwwwwwwwwwwwdi的博客
11-01 822
http://blog.csdn.net/lerryteng/article/details/51423558
Security Framework Reference
路漫漫其修远兮,吾将上下而求索!
07-28 552
Security framework定义了C接口保护信息和控制软件的访问。
Geode Security Framework
01-26
Geode 可以配置来认证Peer成员,客户端,以及远程网关。 Geode 还为客户端从服务器获取的缓存操作提供授权。 这样就阻止了未经身份验证和用户定义的缓存操作策略访问Geode分布式系统。当Peer成员配置了身份认证,那么需要使用Locator服务来寻找Geode系统。
iOS使用security.framework实现RSA加解密
宁静致远
06-20 6748
最近研究了下使用security.framework框架进行RSA和AES加解密。从car证书文件中读取公钥,从pfx证书文件中读取私钥。 1、从cer证书文件中读取公钥; /** * 获取公钥 * * @return */ - (SecKeyRef)getPublicKey { if (!_publicKey) { [self loadPublicKeyF
ios rsa加密 java解密_iOS使用RSA对数据进行加密解密
weixin_39948210的博客
02-13 124
RSA算法是一种非对称加密算法,常被用于加密数据传输.如果配合上数字摘要算法, 也可以用于文件签名.本文将讨论如何在iOS使用RSA传输加密数据.本文环境mac osopenssl-1.0.1j, openssl需要使用1.x版本, 推荐使用homebrew安装.Java 8RSA基本原理RSA使用"秘匙对"对数据进行加密解密.在加密解密数据前,需要先生成公钥(public key)和私钥(pr...
iOS RSA加密和解密
启程的博客
07-08 5348
一、使用openssl终端指令生成公钥和私钥证书,最后需要得到公钥证书(public_key.der)和私钥证书(private_key.p12) 1,打开终端前,在桌面新建文件夹CertificateFile(用来存放证书) 2,打开终端cd到Certificate File文件目录(在cd后空格直接拖文件到终端)回车 3,依次输入下面的指令: openssl genrsa -o
security.js 前端RSA加密解密
07-10
security.js基于RSA算法用于前端加密与密钥传输,需要跟后台配合使用 var key = new RSAUtils.getKeyPair("${publicKeyExponent}", "", "${publicKeyModulus}"); var reversedPwd = password.split("").reverse...
RSA.rar_RSA加密解密
09-21
RSA算法是最著名的公开密码体制。基于大数分解的难度。其公开密钥和私人密钥是一对大素数的函数,从一个公开密钥和密文中恢复出明文的难度等价于...算法过程:首先是设计密钥,然后是对消息加密,最后是对密文解密。
CocoaCryptoMac:在Mac OS X上使用Security.framework演示RSA加密和解密
05-12
这是一个简单的项目,展示了如何从某些OpenSSL API迁移到Apple的本机加密库。 我发现有关此主题的文档很少,并且通常不是很有帮助。 希望这对某人有用。 ##问题我有一些使用OpenSSL库的现有代码,该代码在Mac OS X...
C#自定义RSA加密解密RSA签名验证类实例
09-03
主要介绍了C#自定义RSA加密解密RSA签名验证类,实例分析了C#实现RSA加密解密RSA签名验证的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
rsa.rar_RSA加密解密
09-20
rsa算法是经典的加密解密算法,可用来加密和进行数字签名。本程序运用rsa算法生成密钥对。
vosk 语音驱动 模型
子燕若水的博客
05-04 373
此外,Vosk 还提供了多种语言的预训练模型,包括英语、中文、法语、西班牙语等,使得开发者可以轻松地为他们的应用程序添加多语言支持。它支持 20 多种语言和方言的语音识别 - 英语、印度英语、德语、法语、西班牙语、葡萄牙语、中文、俄语、土耳其语、越南语、意大利语、荷兰语、加泰罗尼亚语、阿拉伯语、希腊语、波斯语、菲律宾语、乌克兰语、哈萨克语、瑞典语、日语、世界语、印地语、捷克语、波兰语。为各种编程语言(如 Python、Java、Node.JS、C#、C++、Rust、Go 等)实现的语音识别绑定。
Android mmc command
kv110的专栏
05-07 153
Android mmc command
透明的Activity:主题样式:
qq_63053996的博客
04-30 153
主题,透明activity
前端 Android App 上架详细流程 (Android App)
qq_52602294的博客
05-06 303
安卓打包后、或者uni-app 打包后 都可以使用,上架APP的流程都一样,
Android 启动提示Android 正在升级...提示源码分析
最新发布
结合项目案例,记录点点滴滴,自己回顾,分享他人o__o
05-08 89
正常情况下烧录的新机会有这个提示,因为系统启动时候要对系统APP做DexOpt优化,流程如下:进入performBootDexOpt函数:提示框代码如下:而提示框的Tile和Msg如下:
c++使用openssl进行rsa加密解密签名验签功能
08-23
对于RSA加密和解密,我们可以使用OpenSSL提供的命令行工具或者API来实现。 使用命令行工具,我们可以通过以下命令进行RSA加密: openssl rsautl -encrypt -in <input file> -out <output file> -inkey ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值