09 - 对称密钥

作者: 卡布奇诺_95d2 | 来源:发表于2021-04-22 16:16 被阅读0次

09 - 对称密钥
数字签名及证书
安全防护 — 对称加密和非对称加密的简介
常用加密算法
公钥和私钥的完全解释（包括对称算法和非对称算法、RSA解释）
Swift网络安全原理及实践
计算机网络之安全控制
密码学一些概念
对称加密算法 VS 非对称加密算法
认证授权归纳（4）（密钥概念）

对称密钥

对称加密简介

采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密。这种加密方法称为对称加密，也称为单密钥加密。
对加密和解密使用相同密钥的加密算法，其运算速度非常快，对称加密通常在消息发送方需要加密大量数据时使用。

常用对称加密算法

DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合；
3DES（Triple DES）：是基于DES，对一块数据用三个不同的密钥进行三次加密，其强度更高；
AES（Advanced Encryption Standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高，支持128、192、256、512位密钥的加密；

对称加密算法特点：

加密方和解密方使用的是同一个密钥
加密解密的速度比较快，适合数据量比较大的情况
密钥传输的过程不安全，且容易被破解，因此密钥管理比较麻烦

应用模式：

ECB（Electronic Code Book）：电子密码本模式。它是最基本的加密模式，也是通常理解的加密，相同的明文将永远加密成相同的密文，无初始向量，容易受到密码本重放攻击，一般情况下很少用。
CBC（Cipher Block Chaining）：密码分组链接模式。明文被加密前要与前面的密文进行异或运算后再加密，因此只要选择不同的初始微量，相同的密文加密后会形成不同的密文，这是目前应用最广泛的模式。CBC加密后的密文是上下文相关的，但明文的错误不会传递到后续分组，如果一个分组丢失，后面的分组将全部作废（同步错误）。
CFB（Cipher Feedback Mode）：加密反馈模式。类似于自同步序列密码，分组加密后，按8位分组将密文和明文进行移位异或后得到输出同时反馈回移位寄存器，优点是最小可以按字节进行加解密，也可以是n位的。CFB也是上下文相关的，CFB模式下，明文的一个错误会影响后面的密文（错误扩散）
OFB（Output Feedback Mode）：输出反馈模式。将分组密码作为同步序列密码运行，和CFB相似，不过OFB用的是前一个n们密文输出分组反馈回移位寄存器，OFB没有错误扩散问题。

对称加密的优缺点

优点
对称加密算法的优点是：算法公开、计算量小、加密速度快、加密效率高。
缺点
由于加解密使用同一密钥，则密钥的保存尤为重要，如果一方的密钥被泄漏，那加密的信息也不安全。

终端演示对称加密

使用DES加密，模式使用ECB

echo -n hello | openssl enc -des-ecb -K 616263 -nosalt | base64

//加密结果
HQr0Oij2kbo=

以下是对上述加密代码的释义：

echo -n hello：不换行的标准输出 hello 字符串
openssl enc：使用openssl 进行数据加密，加密的数据就是 hello 字符串
-des-ecb：加密方式为 DES，加密模式为 ECB
-K 616263：加密的密钥为0x61 0x62 0x63（abc）
-nosalt：openssl命令，默认随机加盐，通过-nosalt参数，取消该策略
base64：由于加密后的数据是二进制的，通过base64使其显示成可视字符串

使用DES解密，模式使用ECB

echo -n HQr0Oij2kbo= | base64 -D | openssl enc -d -des-ecb -K 616263 -nosalt

//解密结果：注意%为占位符，并不是原字符串内容
hello%

释义：

echo -n HQr0Oij2kbo= | base64 -D：由于前面加密后的数据是进行了base64编码，因此首先需要做的是对字符串进行base64解码。
openssl enc -d：表示当前操作是解密，-e表示加密操作，默认为加密操作
-des-ecb：加密方式为 DES，加密模式为 ECB
-K 616263：加密的密钥为0x61 0x62 0x63（abc）
-nosalt：openssl命令，默认随机加盐，通过-nosalt参数，取消该策略

使用DES加密，模式使用CBC

//加密 hello
echo -n hello | openssl enc -des-cbc -K 616263 -nosalt -iv 0102030405060708 | base64

//加密结果
alvrvb3Gz88=

使用DES解密，模式使用CBC

//解密 alvrvb3Gz88= 得到原字符串 hello
echo -n alvrvb3Gz88= | base64 -D | openssl enc -des-cbc -K 616263 -nosalt -iv 0102030405060708 -d

//解密结果
hello%

使用AES加密，模式使用ECB

//加密 hello
echo -n hello | openssl enc -aes-128-ecb -K 616263 -nosalt | base64

//加密结果
d1QG4T2tivoi0Kiu3NEmZQ==

使用AES解密，模式使用ECB

//解密 d1QG4T2tivoi0Kiu3NEmZQ== 得到结果 hello
echo -n d1QG4T2tivoi0Kiu3NEmZQ== | base64 -D | openssl enc -aes-128-ecb -K 616263 -nosalt -d

//解密结果
hello%

使用AES加密，模式使用CBC

//加密 hello
echo -n hello | openssl enc -aes-128-cbc -K 616263 -nosalt -iv 0102030405060708 | base64

//加密结果
u3W/N816uzFpcg6pZ+kbdg==

使用AES解密，模式使用CBC

//解密 u3W/N816uzFpcg6pZ+kbdg== 得到结果 hello
echo -n u3W/N816uzFpcg6pZ+kbdg== | base64 -D | openssl enc -aes-128-cbc -K 616263 -nosalt -iv 0102030405060708 -d

//解密结果
hello%

OC代码演示对称加密

封装EncryptionTools加密库，提供以下方法

#import <Foundation/Foundation.h>
#import <CommonCrypto/CommonCrypto.h>

@interface EncryptionTools : NSObject
   
+ (instancetype)sharedEncryptionTools;
   
/**
    @constant   kCCAlgorithmAES     高级加密标准，128位(默认)
    @constant   kCCAlgorithmDES     数据加密标准
*/
@property (nonatomic, assign) uint32_t algorithm;
   
//加密字符串并返回base64编码字符串
- (NSString *)encryptString:(NSString *)string keyString:(NSString *)keyString iv:(NSData *)iv;

//解密字符串
- (NSString *)decryptString:(NSString *)string keyString:(NSString *)keyString iv:(NSData *)iv;
   
@end

DES加密，ECB模式

- (void)testDES_ECB:(NSString*)pwd andKey:(NSString*)key{
    [EncryptionTools sharedEncryptionTools].algorithm = kCCAlgorithmDES;
    NSString * encStr = [[EncryptionTools sharedEncryptionTools] encryptString:pwd keyString:key iv:nil];
    NSLog(@"[DES_ECB]加密的结果是：%@",encStr);
    
    NSLog(@"[DES_ECB]解密的结果是：%@",[[EncryptionTools sharedEncryptionTools] decryptString:encStr keyString:key iv:nil]);
}

//结果
2021-04-22 15:58:01.344155+0800 EncryptDemo[43690:24153812] [DES_ECB]加密的结果是：HQr0Oij2kbo=
2021-04-22 15:58:01.344437+0800 EncryptDemo[43690:24153812] [DES_ECB]解密的结果是：hello

DES加密，CBC模式

- (void)testDES_CBC:(NSString*)pwd andKey:(NSString*)key andIv:(NSData*)iv{
    [EncryptionTools sharedEncryptionTools].algorithm = kCCAlgorithmDES;
    NSString * encStr = [[EncryptionTools sharedEncryptionTools] encryptString:pwd keyString:key iv:iv];
    NSLog(@"[DES_CBC]加密的结果是：%@",encStr);
    
    NSLog(@"[DES_CBC]解密的结果是：%@",[[EncryptionTools sharedEncryptionTools] decryptString:encStr keyString:key iv:iv]);
}

//结果
2021-04-22 15:58:01.344672+0800 EncryptDemo[43690:24153812] [DES_CBC]加密的结果是：alvrvb3Gz88=
2021-04-22 15:58:01.344877+0800 EncryptDemo[43690:24153812] [DES_CBC]解密的结果是：hello

AES加密，ECB模式

- (void)testAES_ECB:(NSString*)pwd andKey:(NSString*)key{
    [EncryptionTools sharedEncryptionTools].algorithm = kCCAlgorithmAES;
    NSString * encStr = [[EncryptionTools sharedEncryptionTools] encryptString:pwd keyString:key iv:nil];
    NSLog(@"[AES_ECB]加密的结果是：%@",encStr);
    
    NSLog(@"[AES_ECB]解密的结果是：%@",[[EncryptionTools sharedEncryptionTools] decryptString:encStr keyString:key iv:nil]);
}

//结果
2021-04-22 15:58:01.345047+0800 EncryptDemo[43690:24153812] [AES_ECB]加密的结果是：d1QG4T2tivoi0Kiu3NEmZQ==
2021-04-22 15:58:01.345211+0800 EncryptDemo[43690:24153812] [AES_ECB]解密的结果是：hello

AES加密，CBC模式

- (void)testAES_CBC:(NSString*)pwd andKey:(NSString*)key andIv:(NSData*)iv{
    [EncryptionTools sharedEncryptionTools].algorithm = kCCAlgorithmAES;
    NSString * encStr = [[EncryptionTools sharedEncryptionTools] encryptString:pwd keyString:key iv:iv];
    NSLog(@"[AES_CBC]加密的结果是：%@",encStr);
    
    NSLog(@"[AES_CBC]解密的结果是：%@",[[EncryptionTools sharedEncryptionTools] decryptString:encStr keyString:key iv:iv]);
}

//结果
2021-04-22 15:58:01.345395+0800 EncryptDemo[43690:24153812] [AES_CBC]加密的结果是：u3W/N816uzFpcg6pZ+kbdg==
2021-04-22 15:58:01.345557+0800 EncryptDemo[43690:24153812] [AES_CBC]解密的结果是：hello

CCCrypt函数

CCCrypt函数为系统提供的加解密函数。

CCCryptorStatus CCCrypt(
   CCOperation op,         /* kCCEncrypt, etc. */
   CCAlgorithm alg,        /* kCCAlgorithmAES128, etc. */
   CCOptions options,      /* kCCOptionPKCS7Padding, etc. */
   const void *key,
   size_t keyLength,
   const void *iv,         /* optional initialization vector */
   const void *dataIn,     /* optional per op and alg */
   size_t dataInLength,
   void *dataOut,          /* data RETURNED here */
   size_t dataOutAvailable,
   size_t *dataOutMoved)
   API_AVAILABLE(macos(10.4), iOS(2.0));

参数说明：
1. op：加解密标志。kCCEncrypt加密、kCCDecrypt解密
2. alg：加解密使用的算法标准
3. options：加密选项ECB/CBC
4. key：key的内存地址
5. keyLength：key的长度
6. iv：初始化向量，固定长度8字节
7. dataIn：加密数据的内存地址
8. dataInLength：加密的数据长度
9. dataOut：密文的内存地址
10. dataOutAvailable：密文需要的可用空间大小，数据缓冲区的大小（字节）
11. dataOutMoved：操作成功之后，被写入dataOut的字节长度。如果由于提供的缓冲区空间不足而返回kCCBufferTooSmall，则在这里返回所需的缓冲区空间
加解密使用的算法标准

enum {
   kCCAlgorithmAES128 = 0, /* Deprecated, name phased out due to ambiguity with key size */
   kCCAlgorithmAES = 0,
   kCCAlgorithmDES,
   kCCAlgorithm3DES,
   kCCAlgorithmCAST,
   kCCAlgorithmRC4,
   kCCAlgorithmRC2,
   kCCAlgorithmBlowfish
};

初始化向量iv，在CBC模式下才需要

注意：CCCrypt函数为系统函数，它可以通过符号断点的方式，将其第七个参数截获，从而破解出待加密的数据，这是不安全的。

对称算法简单使用案例请前往Demo

09 - 对称密钥
对称密钥对称加密简介采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密。这种加密方法称为对称加...
数字签名及证书
1. 加密：对称加密：用对称密钥及算法进行加密。对称密钥，加解密使用相同的密钥。非对称加密：用非对称密钥及算法...
安全防护 — 对称加密和非对称加密的简介
1. 对称加密 - 简介对称密钥(Symmetric-key algorithm)又称为共享密钥加密，对称密钥在...
常用加密算法
对称密钥算法&非对称式密码学对称密钥算法（英语：Symmetric-key algorithm）又称为对称加密、...
公钥和私钥的完全解释（包括对称算法和非对称算法、RSA解释）
密钥分为两种：对称密钥与非对称密钥对称密钥加密，又称私钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。...
Swift网络安全原理及实践
原理部分对称加密存在一个对称密钥，信息用对称密钥加密，也用对称密钥解密。非对称加密存在一个公钥和一个私钥，...
计算机网络之安全控制
1、对称加密与非对称加密所谓对称加密，就是加密密钥与解密密钥是相同的密码体制，这种加密系统又称为对称密钥系统。 ...
密码学一些概念
对称密钥加密对称密钥加密（英语：Symmetric-key algorithm）又称为对称加密、私钥加密、共享密...
对称加密算法 VS 非对称加密算法
对称密钥加密官方释义对称密钥加密（英语：Symmetric-key algorithm）又称为对称加密、私钥加...
认证授权归纳（4）（密钥概念）
1: 密钥分类 (对称密钥与非对称密钥) 2：密钥，私钥，公钥的区分 3：摘要签名签名验证 4：加密解密 ...