作者:張京
鏈接:https://segmentfault.com/a/1190000019437132 還記得上初二的那年夏天���,班里來(lái)了一個(gè)新同學(xué),他就住在我家對(duì)面的樓里�����,于是我們一起上學(xué)放學(xué)����,很快便成了最要好的朋友。我們決定發(fā)明一套神秘的溝通方式��,任何人看到都不可能猜到它的真實(shí)含義��。我們第一個(gè)想到的就是漢語(yǔ)拼音���,但很顯然光把一個(gè)句子變成漢語(yǔ)拼音是不夠的���,于是我們把26個(gè)英文字母用簡(jiǎn)譜的方式從低音到高音排起來(lái),就得到了一個(gè)簡(jiǎn)單的密碼本: 
把“ 我們都是好朋友”用這個(gè)密碼本變換之后就得到了這樣的結(jié)果: 
小時(shí)候玩這個(gè)游戲樂(lè)此不疲����,覺(jué)得非常有趣。上大學(xué)后,有幸聽(tīng)盧開(kāi)澄教授講《計(jì)算機(jī)密碼學(xué)》�,才知道原來(lái)我們小時(shí)候玩的這個(gè)游戲遠(yuǎn)遠(yuǎn)不能稱(chēng)之為加密。那么到底什么是加密呢����? 什么是加密?把字符串 123456經(jīng)過(guò) base64變換之后���,得到了 MTIzNDU2����,有人說(shuō)這是 base64加密��。
把字符串 123456經(jīng)過(guò) md5變換之后����,得到了 E10ADC3949BA59ABBE56E057F20F883E,有人說(shuō)這是 md5加密���。 從嚴(yán)格意義上來(lái)說(shuō)�����,不管是 base64還是 md5甚至更復(fù)雜一些的 sha256都不能稱(chēng)之為加密��。 一句話��,沒(méi)有密鑰的算法都不能叫加密���。 編碼(Encoding)是把字符集中的字符編碼為指定集合中某一對(duì)象(例如:比特模式�����、自然數(shù)序列、8位字節(jié)或者電脈沖)����,以便文本在計(jì)算機(jī)中存儲(chǔ)和通過(guò)通信網(wǎng)絡(luò)的傳遞的方法,常見(jiàn)的例子包括將拉丁字母表編碼成摩爾斯電碼和 ASCII����。 base64只是一種編碼方式。 雜湊(Hashing)是電腦科學(xué)中一種對(duì)資料的處理方法�����,通過(guò)某種特定的函數(shù)/算法(稱(chēng)為雜湊函數(shù)/算法)將要檢索的項(xiàng)與用來(lái)檢索的索引(稱(chēng)為雜湊��,或者雜湊值)關(guān)聯(lián)起來(lái)�����,生成一種便于搜索的資料結(jié)構(gòu)(稱(chēng)為雜湊表)。雜湊算法常被用來(lái)保護(hù)存在資料庫(kù)中的密碼字符串��,由于雜湊算法所計(jì)算出來(lái)的雜湊值具有不可逆(無(wú)法逆向演算回原本的數(shù)值)的性質(zhì)����,因此可有效的保護(hù)密碼。常用的雜湊算法包括 md5, sha1, sha256等��。 加密(Encryption)是將明文信息改變?yōu)殡y以讀取的密文內(nèi)容����,使之不可讀的過(guò)程。只有擁有解密方法的對(duì)象�����,經(jīng)由解密過(guò)程���,才能將密文還原為正?����?勺x的內(nèi)容�����。加密分為對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密��,對(duì)稱(chēng)加密的常用算法包括 DES, AES等��,非對(duì)稱(chēng)加密算法包括 RSA���,橢圓曲線算法等�����。
在古典加密算法當(dāng)中,加密算法和密鑰都是不能公開(kāi)的�,一旦泄露就有被破解的風(fēng)險(xiǎn),我們可以用詞頻推算等方法獲知明文����。 1972年美國(guó) IBM公司研制的 DES算法( Data Encryption Standard)是人類(lèi)歷史上第一個(gè)公開(kāi)加密算法但不公開(kāi)密鑰的加密方法,后來(lái)成為美國(guó)軍方和政府機(jī)構(gòu)的標(biāo)準(zhǔn)加密算法��。 2002年升級(jí)成為 AES算法( AdvancedEncryption Standard)��,我們今天就從 AES開(kāi)始入手學(xué)習(xí)加密和解密���。 準(zhǔn)備工具通常情況下�����,加解密都只需要在服務(wù)端完成就夠了��,這也是網(wǎng)上大多數(shù)教程和樣例代碼的情況�����,但在某種特殊情況下���,你需要用一種語(yǔ)言加密而用另一種語(yǔ)言解密的時(shí)候����,最好有一個(gè)中立的公正的第三方結(jié)果集來(lái)驗(yàn)證你的加密結(jié)果�,否則一旦出錯(cuò),你都不知道是加密算法出錯(cuò)了�,還是解密算法出錯(cuò)了,對(duì)此我們是有慘痛教訓(xùn)的�����,特別是如果一個(gè)公司里�����,寫(xiě)加密的是前端,用的是 js語(yǔ)言�,而寫(xiě)解密的是后端,用的是 java語(yǔ)言或者 php語(yǔ)言或者 go語(yǔ)言����,則雙方更需要有這樣一個(gè)客觀公正的平臺(tái),否則你們之間必然會(huì)陷入永無(wú)休止的互相指責(zé)的境地�����,前端說(shuō)自己沒(méi)有錯(cuò)���,是后端解密解錯(cuò)了,后端說(shuō)解密沒(méi)有錯(cuò)���,是前端加密寫(xiě)錯(cuò)了����,而事實(shí)上是雙方都是菜鳥(niǎo)�����,對(duì)密碼學(xué)一知半解,在這種情況下浪費(fèi)的時(shí)間就更多�。
在線AES加密解密就是這樣的一個(gè)工具網(wǎng)站,你可以在上面驗(yàn)證你的加密結(jié)果���,如果你加密得到的結(jié)果和它的結(jié)果完全一致��,就說(shuō)明你的加密算法沒(méi)有問(wèn)題�����,否則你就去調(diào)整�����,直到和它的結(jié)果完全一致為止�����。反之亦然��,如果它能從一個(gè)密文解密解出來(lái)����,而你的代碼解不出來(lái),那么一定是你的算法有問(wèn)題����,而不可能是數(shù)據(jù)的問(wèn)題。 我們先在這個(gè)網(wǎng)站上對(duì)一個(gè)簡(jiǎn)單的字符串 123456進(jìn)行加密��。 
下面我們對(duì)網(wǎng)站上的所有選項(xiàng)逐個(gè)解釋一下: AES加密模式:這里我們選擇的是 ECB( ee cc block)模式���。這是 AES所有模式中最簡(jiǎn)單也是最不被人推薦的一種模式���,因?yàn)樗墓潭ǖ拿魑膶?duì)應(yīng)的是固定的密文,很容易被破解����。但是既然是練習(xí)的話,就讓我們先從最簡(jiǎn)單的開(kāi)始����。
填充:在這里我們選擇 pkcs標(biāo)準(zhǔn)的 pkcs7padding。 數(shù)據(jù)塊:我們選擇 128位��,因?yàn)?nbsp;java端解密算法目前只支持 AES128���,所以我們先從 128位開(kāi)始。 密鑰:因?yàn)槲覀兦懊孢x擇了 128位的數(shù)據(jù)塊,所以這里我們用 128 / 8 = 16個(gè)字節(jié)來(lái)處理��,我們先簡(jiǎn)單地填入 16個(gè)0���,其實(shí)你也可以填寫(xiě)任意字符��,比如 abcdefg1234567ab或者其它��,只要是 16個(gè)字節(jié)即可����。理論上來(lái)說(shuō)����,不是16個(gè)字節(jié)也可以用來(lái)當(dāng)密鑰,優(yōu)秀的算法會(huì)自動(dòng)補(bǔ)齊���,但是為了簡(jiǎn)單起見(jiàn)��,我們先填入 16個(gè) 0���。 偏移量:置空。因?yàn)槭?nbsp;ECB模式����,不需要 iv偏移量����。 輸出:我們選擇 base64編碼方式���。 字符集:這里因?yàn)槲覀冎患用苡⑽淖帜负桶⒗當(dāng)?shù)字�����,所以選擇 utf-8和 gb2312都是一樣的��。
好了���,現(xiàn)在我們知道按照以上選項(xiàng)設(shè)置好之后的代碼如果加密 123456的話,應(yīng)該輸出 DoxDHHOjfol/2WxpaXAXgQ==��,如果不是這個(gè)結(jié)果�,那就是加密端的問(wèn)題。 AES-ECBAES-ECB的Javascript加密
為了完成 AES加密�����,我們并不需要自己手寫(xiě)一個(gè) AES算法�,不需要去重復(fù)造輪子。但如何選擇 js的加密庫(kù)是個(gè)很有意思的挑戰(zhàn)�。我們嘗試了很多方法,一開(kāi)始我們嘗試了aes-js這個(gè)庫(kù)�����,但它不支持 RSA算法�����,后來(lái)我們看到Web Crypto API這種瀏覽器自帶的加密庫(kù)����,原生支持 AES和 RSA,但它的 RSA實(shí)現(xiàn)和 Java不兼容���,最終我們還是選擇了Forge這個(gè)庫(kù)�,它天生支持 AES的各種子集�,并且它的 RSA也能和 Java完美配合。 使用 forge編寫(xiě)的 js代碼實(shí)現(xiàn) AES-ECB加密的代碼就是下面這些: const cipher = forge.cipher.createCipher('AES-ECB', '這里是16字節(jié)密鑰');
cipher.start();
cipher.update(forge.util.createBuffer('這里是明文'));
cipher.finish();
const result = forge.util.encode64(cipher.output.getBytes())
forge的 AES缺省就是 pkcs7padding��,所以不用特別設(shè)置�����。運(yùn)行它之后你就會(huì)得到正確的加密結(jié)果。
AES-ECB的Java解密接下來(lái)我們看看Java端的解密代碼該如何寫(xiě): try {
Cipher cipher = Cipher.getInstance('AES/ECB/PKCS5Padding');
cipher.init(Cipher.DECRYPT_MODE, new SecretKeySpec('這里是16字節(jié)密鑰'.getBytes(), 'AES'));
String plaintext = new String(cipher.doFinal(Base64.getDecoder().decode('這里是明文'.getBytes())), 'UTF-8');
System.out.println(plaintext);
} catch (Exception e) {
System.out.println('解密出錯(cuò):' + e.toString());
}
注意這里我們用到的是 PKCS5Padding����,上面加密的時(shí)候不是用的是 pkcs7padding嗎?怎么這里變成 5了呢���? 我們先來(lái)了解一下什么是 pkcs�����。 pkcs的全稱(chēng)是 Public Key Cryptography Standards(公鑰加密標(biāo)準(zhǔn))�����,這是 RSA實(shí)驗(yàn)室制定的一系列的公鑰密碼編譯標(biāo)準(zhǔn)��,比較著名的有 pkcs1, pkcs5, pkcs7, pkcs8這四個(gè)�����,它們分別管理的是不同的內(nèi)容�����。在這里我們只是用它來(lái)填充���,所以我們只關(guān)注 pkcs5和 pkcs7就夠了����。那么 pkcs5和 pkcs7有什么區(qū)別呢�����?其實(shí)在填充方面它們兩個(gè)的算法是一樣的���, pkcs5是 pkcs7的一個(gè)子集,區(qū)別在于 pkcs5是 8字節(jié)固定的�,而 pkcs7可以是 1到 255之間的任意字節(jié)。但用在 AES算法上�����,因?yàn)?nbsp;AES標(biāo)準(zhǔn)規(guī)定塊大小必須是 16字節(jié)或者 24字節(jié)或者 32字節(jié)�����,不可能用 pkcs5的 8字節(jié)�����,所以 AES算法只能用 pkcs7填充。但是由于 java早期工程師犯的一個(gè)命名上的錯(cuò)誤����,他們把 AES填充算法的名稱(chēng)設(shè)定為 pkcs5,而實(shí)際實(shí)現(xiàn)中實(shí)現(xiàn)的是 pkcs7����,所以我們?cè)?nbsp;java端開(kāi)發(fā)解密的時(shí)候需要使用 pkcs5。 AES-CBC談完了不安全的 AES-ECB��,我們來(lái)做一下相對(duì)安全一些的 AES-CBC模式��。
AES-CBC的Javascript加密直接上代碼: const cipher = forge.cipher.createCipher('AES-CBC', '這里是16字節(jié)密鑰');
cipher.start({ iv: '這里是16字節(jié)偏移量' });
cipher.update(forge.util.createBuffer('這里是明文'));
cipher.finish();
const result = forge.util.encode64(cipher.output.getBytes());
跟上面的 AES-ECB差不多����,唯一區(qū)別只是在 start函數(shù)里定義了一個(gè) iv。 AES-CBC的Java解密下面是 Java代碼: try {
Cipher cipher = Cipher.getInstance('AES/CBC/PKCS5Padding');
cipher.init(Cipher.DECRYPT_MODE, new SecretKeySpec('這里是16字節(jié)密鑰'.getBytes(), 'AES'), new IvParameterSpec('這里是16字節(jié)偏移量'.getBytes()));
String plaintext = new String(cipher.doFinal(Base64.getDecoder().decode('這里是明文'.getBytes())), 'UTF-8');
System.out.println(plaintext);
} catch (Exception e) {
System.out.println('解密出錯(cuò):' + e.toString());
}
也是同樣�,跟上面用 AES-ECB時(shí)的模式幾乎一模一樣,只是增加了一個(gè) IvParameterSpec����,用來(lái)生成 iv,在 cipher.init里面增加了一個(gè) iv參數(shù)���,除此之外完全相同�����,就這樣我們就已經(jīng)實(shí)現(xiàn)了一個(gè)簡(jiǎn)單的 CBC模式���。 RSA但是以上兩種做法都明顯是非常不安全的��,因?yàn)槲覀儼鸭用苡玫拿荑€和 iv參數(shù)都直接暴露在了前端,為此我們需要一種更加安全的加密方法—— RSA���。因?yàn)?nbsp;RSA是非對(duì)稱(chēng)加密�,即使我們把加密用的公鑰完全暴露在前端也不必?fù)?dān)心��,別人即使截獲了我們的密文����,但因?yàn)樗麄儧](méi)有解密密鑰,是無(wú)法解出我們的明文的�����。
生成密鑰對(duì)要用 RSA加密���,首先我們需要生成一個(gè)公鑰和一個(gè)私鑰���,我們可以直接執(zhí)行命令 ssh-keygen���。它會(huì)問(wèn)我們密鑰文件保存的文件夾,注意一定要單獨(dú)找一個(gè)文件夾存放���,不要放在缺省文件夾下���,否則你日常使用的 ssh公鑰和私鑰就都被覆蓋了。 得到公鑰文件之后����,由于這個(gè)公鑰文件是 rfc4716格式的,而我們的 forge庫(kù)要求一個(gè) pkcs1格式的公鑰����,所以這里我們需要把它轉(zhuǎn)換成 pem格式(也就是 pkcs1格式): ssh-keygen -f 公鑰文件名 -m pem -e
RSA的Javascript加密得到 pem格式的公鑰之后,我們來(lái)看一下 js的代碼: forge.util.encode64(forge.pki.publicKeyFromPem('-----BEGIN RSA PUBLIC KEY-----MIIBCfdsafasfasfafsdaafdsaAB-----END RSA PUBLIC KEY-----').encrypt('這里是明文', 'RSA-OAEP', { md: forge.md.sha256.create(), mgf1: { md: forge.md.sha1.create() } });
一句話就完成整個(gè)加密過(guò)程了���,這就是 forge的強(qiáng)大之處��。 RSA的Java解密接下來(lái)我們看解密�����。 對(duì)于私鑰�,因?yàn)?nbsp;Java只支持 PKCS8,而我們用 ssh-keygen生成的私鑰是 pkcs1的���,所以還需要用以下命令把 pkcs1的私鑰轉(zhuǎn)換為 pkcs8的私鑰: openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in 私鑰文件名 -out 導(dǎo)出文件名
得到 pkcs8格式的私鑰之后����,我們把這個(gè)文件的頭和尾去掉�,然后放入以下 Java代碼: try {
Cipher cipher = Cipher.getInstance('RSA/ECB/OAEPWithSHA-256AndMGF1Padding');
cipher.init(Cipher.DECRYPT_MODE, KeyFactory.getInstance('RSA').generatePrivate(new PKCS8EncodedKeySpec(Base64.getDecoder().decode('這里是私鑰'))));
String plaintext = new String(cipher.doFinal(Base64.getDecoder().decode('這里是密文'.getBytes())), 'UTF-8');
System.out.println(plaintext);
} catch (Exception e) {
System.out.println('解密出錯(cuò):' + e.toString());
}
和上面的 AES解密類(lèi)似,只是增加了 KeyFactory讀取 PKCS8格式私鑰的部分�,這樣我們就完成了 Java端的 RSA解密��。 以上我們用最簡(jiǎn)單的方式實(shí)現(xiàn)了 js端加密��, java端解密的過(guò)程�����,感興趣的朋友可以在這里下載完整的代碼親自驗(yàn)證一下: https://github.com/fengerzh/encdec
●編號(hào)891�,輸入編號(hào)直達(dá)本文
●輸入m獲取文章目錄
|
