非對稱加解密應用廣泛,它的存在是致力於解決密鑰通過公共通道傳輸這一經典難題。對稱加密有一個天然的缺點,就是加密方和解密方都要持有同樣的密鑰,而這個密鑰在傳遞過程中有可能會被截獲,從而使加解密失效。 ...
非對稱加解密應用廣泛,它的存在是致力於解決密鑰通過公共通道傳輸這一經典難題。對稱加密有一個天然的缺點,就是加密方和解密方都要持有同樣的密鑰,而這個密鑰在傳遞過程中有可能會被截獲,從而使加解密失效。難不成還要為密鑰的傳輸再做一次加密?這樣不就陷入了死迴圈?或許有人在想,密鑰即使被盜取,不還有加密演算法保證信息安全嗎?但任何演算法最終都會被破譯,所以不能依賴演算法的複雜度來保證安全。
可能的解決方案如下:
- 事先共用密
- 鑰密鑰分配中心
- Diffie-Hellman密鑰交換
- 非對稱加密
非對稱加密就是一種廣泛應用的加解密技術。非對稱加密需要4個密鑰。通信雙方各自準備一對公鑰和私鑰。其中公鑰是公開的,由信息接受方提供給信息發送方。公鑰用來對信息加密。私鑰由信息接受方保留,用來解密。既然公鑰是公開的,就不存在保密問題。也就是說非對稱加密完全不存在密鑰配送問題。
下麵是一個簡單的場景:
- 小明確定了自己的私鑰mPrivateKey,公鑰 mPublicKey。自己保留私鑰,將公鑰mPublicKey發給了小紅。
- 小紅確定了自己的私鑰hPrivateKey,公鑰 hPublicKey。自己保留私鑰,將公鑰hPublicKey發給了小明。
- 小明發送信息“周六早10點智慧谷見”,並且用小紅的公鑰hPublicKey進行加密。
- 小紅收到信息後用自己的私鑰hPrivateKey進行解密。然後回覆 “收到,不要遲到” 並用小明的公鑰mPublicKey加密。
- 小明收到信息後用自己的私鑰mPrivateKey進行解密。
由於非對稱密鑰的特點,沒有私鑰就無法解密配對的公鑰加密的信息,所以小明不擔心自己公鑰的任意發佈、複製。同一公鑰無法對此公鑰加密的信息解密。所以,問題就變成了,只要保存好私鑰就可以保證數據傳輸的安全,而私鑰不需要在公共信息網路上傳遞,安全性是有基本保障的。
RSA是1977年由羅納德·李維斯特(Ron Rivest)、阿迪·薩莫爾(Adi Shamir)和倫納德·阿德曼(Leonard Adleman)一起提出的。RSA就是他們三人姓氏開頭字母拼在一起組成的。RSA是現在使用最為廣泛的非對稱加密演算法。其原理本文不再贅述,畢竟本系列的文章重在實用。而一旦某一天發現了快速做質因數分解的演算法,那麼RSA就不再安全。
需要註意的是:
- 非對稱加密的處理速度只有對稱加密的幾百分之一。不適合對很長的消息做加密。
- 1024bit的RSA不應該再被新的應用使用。至少要2048bit的RSA。
- RSA解決了密碼配送問題,但是效率更低。所以有些時候,根據需求可能會配合使用對稱和非對稱加密,形成混合密碼系統,各取所長。
下麵使用RSA進行數據加解密,先安裝必要的模塊:
pip install pycryptodome
生成密鑰對的代碼如下:
from Crypto import Random from Crypto.PublicKey import RSA random_generator = Random.new().read rsa = RSA.generate(2048, random_generator) # 生成私鑰 private_key = rsa.exportKey() print(private_key.decode('utf-8')) # 生成公鑰 public_key = rsa.publickey().exportKey() print(public_key.decode('utf-8')) with open('demo_private_key.pem', 'wb')as f: f.write(private_key) with open('demo_public_key.pem', 'wb')as f: f.write(public_key)
也可以直接使用命令生成密鑰對:
openssl genrsa -out rsa_private_key.pem 1024 openssl rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem
將公鑰文件通過電郵、QQ、微信等各種通信方式發送給對方。此時就具備了相互加密通信的可能性。
以下代碼演示了發送的過程:
import base64 from Crypto.PublicKey import RSA from Crypto.Hash import SHA from Crypto.Signature import PKCS1_v1_5 as PKCS1_signature from Crypto.Cipher import PKCS1_v1_5 as PKCS1_cipher def get_key(key_file): with open(key_file) as f: data = f.read() key = RSA.importKey(data) return key def encrypt_data(msg,key): cipher = PKCS1_cipher.new(key) encrypt_text = base64.b64encode(cipher.encrypt(bytes(msg.encode("utf8")))) return encrypt_text.decode('utf-8') public_key = get_key('demo_public_key.pem') encryptedmsg = encrypt_data("hello,tiangong",public_key) print(encryptedmsg) with open("encryptmsg.txt", "w", encoding='utf-8') as output_file: output_file.write(encryptedmsg)
以上代碼將明文“hello,tiangong”通過公鑰變換成為密文,並且保存在文件encryptmsg.txt。
內容如下所示:
jFabADeOZOx44R73gUvD9KwKy7nmhzf4fMeP2YBo0ff2DCv/B/2jYD2s6n0p8El2Nt/bnLdGAPKhC/HCv6AzNDG2bjSDLjn9Uy+aWe5h568Z4cPzzmlkIDbOwjCv1VMXaonV28vLW1mznbVLDSOT0Qd13D3KcaoZLRZRzvhyUAe52Yuizi3wfrhBrnfEXdtZzIA5FSRauxT77l/d81RmMbbQk+uN+E8aC3XwJOHfEGhvimU9gcv2NVyh4AI1Gqjfq61KbS/I4Iwo2knHnHHssGLeO6jxk/5JkNw7I8PO+qc27KdF3Ye4uQ+Woy0RoJ6LyFi41wJjs9mk8YJu9DHevg==
我們假設發送方通過各種方式(socket、電郵、微信等)將密文內容發送給了接收者,接收者使用自己的私鑰進行解密。
其代碼如下:
import base64 from Crypto.PublicKey import RSA from Crypto.Hash import SHA from Crypto.Signature import PKCS1_v1_5 as PKCS1_signature from Crypto.Cipher import PKCS1_v1_5 as PKCS1_cipher def get_key(key_file): with open(key_file) as f: data = f.read() key = RSA.importKey(data) return key def decrypt_data(encrypt_msg,key): cipher = PKCS1_cipher.new(key) back_text = cipher.decrypt(base64.b64decode(encrypt_msg), 0) return back_text.decode('utf-8') with open("encryptmsg.txt", "r", encoding='utf-8') as output_file: encryptedmsg = output_file.read() private_key = get_key('demo_private_key.pem') plainmsg = decrypt_data(encryptedmsg,private_key) print(plainmsg)
運行後即可解出密文。以上就是一個單向加解密的完整過程。
