OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。
自OpenSSL爆出“心脏失血”漏洞后,苹果已将原有的 OpenSSL 替换为 LibreSSL。
OpenSSL的安装更新
$ openssl version // 确定版本 ---> LibreSSL 2.8.3
$ brew install openssl // brew安装OpenSSL
$ brew upgrade openssl // brew更新OpenSSL
消息摘要
将长度不固定的消息(Message)作为输入参数,运行特定的Hash函数,生成固定长度的输出,这个输出就是Hash,也称为这个消息的消息摘要(Message Digest)
常用的单向哈希算法有: md5, sha1, sha256, sha512等。
MD5算法为128位,SHA-1为160位,SHA-256为256位。
$ openssl dgst -md5 file.txt
// 输出 MD5(file.txt)= 5792dc9a7b21a81e9a6946c8c97e1b04
$ openssl dgst -sha256 file.txt
SHA256(file.txt)= fdc2551d8b302cb939657652d1acaa0bfd58049769df127bddcf5b8d5332b58a
加密的消息摘要
加密的消息摘要HMAC(Keyed Hash Message Authentication Code)
上面提到的常规Hash算法,如MD5、SHA,只有一个输入参数:消息。
如果输入参数有两个,一个是消息(Message),另一个是秘钥(Key),将会生成一个加密的消息摘要HMAC。
为了增强HMAC的安全性,只要升级加密Hash算法就可以指数级地增加破解难度。例如HMAC-MD6, HMAC-SHA-3。
$ openssl dgst -md5 -hmac "abcdefg" file.txt
// 输出 HMAC-MD5(file.txt)= 35e66b85d0b3b0b709e584c97361fae8
$ openssl dgst -sha1 -hmac "abcdefg" file.txt
// 输出 HMAC-SHA1(file.txt)= 6a9367104edef5f4e298686568145ef77b7b3b5d
避免碰撞
曾经有一次面试,面试官问到密码学、哈希函数、避免碰撞相关的问题。
由于哈希函数是将所有不定长的消息转换成定长的消息,所以消息容量一定变小了,也有有发生碰撞的可能。这时可以通过多个哈希函数交叉验证来进一步降低发生的可能性。
对称加密算法
$ openssl enc -aes-128-ecb -e -in file.txt -out liwpk.xxx -K 123456 -iv 123456
$ openssl enc -aes-128-cbc -e -in file.txt -out liwpk.xxx -K 123456 -iv 123456
$ openssl enc -aes-128-cbc -d -in liwpk.xxx -out liwpk.txt -K 123456 -iv 123456
常用参数: -aes-128-cbc, -aes-128-cfb, -bf-cbc等。
其中密码算法:bf, cast, des, aes, rs2等。
加密模式:cbc, ecb, cfb, ofb等。
| 参数 | 含义 | 含义(中文) |
|---|---|---|
| -in | input file | 输入文件 |
| -out | output file | 输出文件 |
| -e | encrypt | 加密 |
| -d | decrypt | 解密 |
| -K/-iv | key/iv in hex is the next argument | 十六进制密钥与初始向量 |
| -[pP] | print the iv/key (then exit if -P) | 打印初始向量与密钥 |
加密算法(cipher),加密模式(encryption mode),填充(padding),初始向量(IV)
加密模式
上面提到的给消息加解密除了需要加密算法aes/des等之外,还需要加密模式ecb/cbc等。
对称加密通常有四种模式(ECB、CBC、CFB、OFB)
非对称加密算法
- RSA
- DSA
- ECDSA:Elliptic Curve Digital Signature Algorithm,椭圆曲线签名算法,是ECC(Elliptic curve cryptography,椭圆曲线密码学)和 DSA 的结合。
数字签名
$ openssl genrsa -des3 -out myrsaCA.pem 1024
$ openssl rsa -in myrsaCA.pem -pubout -out myrsapubkey.pem
$ openssl dgst -sha256 -out example.sha256 -sign myrsaCA.pem example.txt
$ openssl genrsa -des3 -out myrsaCA.pem 1024
$ openssl dgst -sha256 -signature example.sha256 -verify myrsapubkey.pem example.txt
网友评论