加密你的資料並使其免受攻擊者的攻擊
密碼學俱樂部的第一條規則是:永遠不要自己 發明 密碼系統。密碼學俱樂部的第二條規則是:永遠不要自己 實現 密碼系統:在現實世界中,在 實現 以及設計密碼系統階段都找到過許多漏洞。
Python 中的一個有用的基本加密庫就叫做 cryptography。它既是一個“安全”方面的基礎庫,也是一個“危險”層。“危險”層需要更加小心和相關的知識,並且使用它很容易出現安全漏洞。在這篇介紹性文章中,我們不會涵蓋“危險”層中的任何內容!
cryptography 庫中最有用的高階安全功能是一種 Fernet 實現。Fernet 是一種遵循最佳實踐的加密緩衝區的標準。它不適用於非常大的檔案,如千兆位元組以上的檔案,因為它要求你一次載入要加密或解密的內容到記憶體緩衝區中。
Fernet 支援對稱symmetric(即金鑰secret key)加密方式*:加密和解密使用相同的金鑰,因此必須保持安全。
生成金鑰很簡單:
>>> k = fernet.Fernet.generate_key() >>> type(k) <class 'bytes'>
這些位元組可以寫入有適當許可權的檔案,最好是在安全的機器上。
有了金鑰後,加密也很容易:
>>> frn = fernet.Fernet(k) >>> encrypted = frn.encrypt(b"x marks the spot") >>> encrypted[:10] b'gAAAAABb1'
如果在你的機器上加密,你會看到略微不同的值。不僅因為(我希望)你生成了和我不同的金鑰,而且因為 Fernet 將要加密的值與一些隨機生成的緩衝區連線起來。這是我之前提到的“最佳實踐”之一:它將阻止對手分辨哪些加密值是相同的,這有時是攻擊的重要部分。
解密同樣簡單:
>>> frn = fernet.Fernet(k) >>> frn.decrypt(encrypted) b'x marks the spot'
請注意,這僅加密和解密位元組串。為了加密和解密文字串,通常需要對它們使用 UTF-8 進行編碼和解碼。
20 世紀中期密碼學最有趣的進展之一是公鑰public key加密。它可以在釋出加密金鑰的同時而讓解密金鑰保持保密。例如,它可用於儲存伺服器使用的 API 金鑰:伺服器是唯一可以訪問解密金鑰的一方,但是任何人都可以儲存公共加密金鑰。
雖然 cryptography 沒有任何支援公鑰加密的安全功能,但 PyNaCl 庫有。PyNaCl 封裝並提供了一些很好的方法來使用 Daniel J. Bernstein 發明的 NaCl 加密系統。
NaCl 始終同時加密encrypt和簽名sign或者同時解密decrypt和驗證簽名verify signature。這是一種防止基於可伸縮性malleability-based的攻擊的方法,其中攻擊者會修改加密值。
加密是使用公鑰完成的,而簽名是使用金鑰完成的:
>>> from nacl.public import PrivateKey, PublicKey, Box >>> source = PrivateKey.generate() >>> with open("target.pubkey", "rb") as fpin: ... target_public_key = PublicKey(fpin.read()) >>> enc_box = Box(source, target_public_key) >>> result = enc_box.encrypt(b"x marks the spot") >>> result[:4] b'\xe2\x1c0\xa4'
解密顛倒了角色:它需要私鑰進行解密,需要公鑰驗證簽名:
>>> from nacl.public import PrivateKey, PublicKey, Box >>> with open("source.pubkey", "rb") as fpin: ... source_public_key = PublicKey(fpin.read()) >>> with open("target.private_key", "rb") as fpin: ... target = PrivateKey(fpin.read()) >>> dec_box = Box(target, source_public_key) >>> dec_box.decrypt(result) b'x marks the spot'
最後,PocketProtector 庫構建在 PyNaCl 之上,包含完整的金鑰管理方案。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2645277/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 保護您的資料免受網路攻擊的技巧
- 如何保護您不瞭解的資料資產免受網路攻擊?
- 如何保護企業免受黑客攻擊?黑客
- 攻擊者使用SQLite資料庫中的惡意程式碼攻擊應用程式SQLite資料庫
- CC攻擊:CC攻擊的原理便是攻擊者控制某些主機不停地發許
- 一鍵遮蔽惡意IP!保護你的伺服器免受攻擊伺服器
- 什麼是資料中毒?如何防範攻擊者的AI和ML攻擊?AI
- IAM-企業免受網路攻擊的得力助手
- 網路免受駭客的攻擊的十件事
- 汽車經銷行業如何免受網路攻擊行業
- 淺談資料庫的攻擊(轉)資料庫
- CC攻擊和DD攻擊的區別在哪裡
- 如何保護Windows網路免受勒索軟體攻擊Windows
- 勒索軟體攻擊:如何透過加密保護您的資料加密
- BTG(bitcoin gold)受到51%攻擊,攻擊者利用雙重支付獲利Go
- DDoS攻擊與CC攻擊的區別是什麼?
- 網站存在被攻擊篡改資料的問題 該如何防止網站被攻擊網站
- XXE攻擊攻擊原理是什麼?如何防禦XXE攻擊?
- 使用SRI保護你的網站免受第三方CDN惡意攻擊網站
- 淺談DDOS攻擊攻擊與防禦
- 三星Android OS加密漏洞分析:IV重用攻擊與降級攻擊Android加密
- APT攻擊APT
- 口令攻擊
- CSRF 攻擊
- 攻擊性
- CSRF攻擊
- 隱秘的攻擊形式:無檔案攻擊型別分析型別
- 【網路安全分享】APT攻擊常用的4種攻擊手段!APT
- CC攻擊的原理是什麼?如何防禦CC攻擊?
- 分析HTTP請求以降低HTTP走私攻擊HTTP資料接收不同步攻擊的風險HTTP
- 谷歌發現的 iPhone 攻擊者同樣也在攻擊 Android 和 Windows 系統谷歌iPhoneAndroidWindows
- 網站上的第三方指令碼為網路攻擊者提供攻擊媒介網站指令碼
- 攻擊面管理預防網路攻擊原理?
- 分散式拒絕服務攻擊 DDoS攻擊分散式
- SQL隱碼攻擊式攻擊掃描器SQL
- 網路攻擊中主動攻擊和被動攻擊有什麼區別?
- SQL資料庫的一些攻擊(轉)SQL資料庫
- 適用於Android的加密教程:保護您的私人使用者資料免遭黑客攻擊Android加密黑客