不用說火爆一時,全網熱議的Web3.0區塊鏈技術,也不必說諸如微信支付、支付寶支付等人們幾乎每天都要使用的線上支付業務,單是一個簡簡單單的註冊/登入功能,也和加密技術脫不了干係,本次我們耙梳各種經典的加密演算法,試圖描摹加密演算法在開發場景中的運用技巧。
可逆加密演算法(對稱加密)
加密演算法是一種將原始資料轉換為加密資料的方法。根據加密演算法的不同特徵,可以將其分為可逆加密演算法和不可逆加密演算法。
可逆加密演算法也稱為對稱加密演算法,其加密和解密過程使用相同的金鑰。在這種演算法中,加密資料可以透過解密演算法還原為原始資料。這種演算法通常用於保護資料的機密性,例如保護儲存在計算機硬碟上的檔案或網路傳輸的資料。
說白了,就是在資料的傳輸過程中加密,真正在業務中使用的時候,還是用明文。
比如,使用AES加密演算法對檔案進行加密:
from Crypto.Cipher import AES
import os
# 生成一個16位元組的金鑰
key = os.urandom(16)
# 初始化加密演算法
cipher = AES.new(key, AES.MODE_EAX)
# 讀取要加密的檔案
with open('plaintext.txt', 'rb') as f:
plaintext = f.read()
# 對檔案進行加密
ciphertext, tag = cipher.encrypt_and_digest(plaintext)
# 將加密後的檔案儲存到磁碟上
with open('ciphertext.txt', 'wb') as f:
f.write(cipher.nonce)
f.write(tag)
f.write(ciphertext)
或者使用DES演算法:
from Crypto.Cipher import DES
# 生成一個8位元組的金鑰
key = b'secretke'
# 初始化加密演算法
cipher = DES.new(key, DES.MODE_ECB)
# 要加密的字串
plaintext = b'Hello, World!'
# 對字串進行加密
ciphertext = cipher.encrypt(plaintext)
# 將加密後的字串轉換為十六進位制格式並輸出
print(ciphertext.hex())
在網路傳輸領域,對稱加密一般都是在JWT的Token令牌加密環節使用:
class MyJwt:
def __init__(self):
# 金鑰
self.secret = "1234"
# 加密方法(加入生命週期)
def encode_time(self,userinfo,lifetime=300):
# 單獨宣告載荷playload
playload = {
'exp':(datetime.datetime.now()+datetime.timedelta(seconds=lifetime)).timestamp(),
'data':userinfo
}
res = jwt.encode(playload,self.secret,algorithm='HS256')
return res
# 加密方法
async def encode(self,userinfo):
res = jwt.encode(userinfo,self.secret,algorithm='HS256')
return res
# 解密演算法
async def decode(self,jwt_str):
res = jwt.decode(jwt_str,self.secret,algorithms=['HS256'])
return res
在實際應用中,需要選擇適合具體場景的加密演算法和金鑰長度,並採取適當的安全措施來保護金鑰,因為對於可逆加密演算法來說,秘鑰一旦洩露,帶來的後果將會是災難性的。
不可逆加密演算法(雜湊)
不可逆加密(也稱雜湊演算法)通常用於對密碼或者資料進行加密或驗證,保證密碼或資料的安全性。相比對稱加密或非對稱加密,雜湊演算法不需要金鑰進行加密或解密,因此更加方便和高效,但它不支援解密,一旦加密後的結果生成,就無法恢復原始資料,不可逆加密演算法的最常見應用場景就是把使用者的明文密碼加密成為密文。
比如使用SHA-256雜湊演算法對資料進行加密:
import hashlib
# 加密資料
message = b'hello world'
hash_object = hashlib.sha256(message)
encrypted_data = hash_object.hexdigest()
print(encrypted_data)
或者使用bcrypt演算法對密碼進行加密:
import bcrypt
# 加密密碼
password = b'mysecretpassword'
salt = bcrypt.gensalt()
hashed_password = bcrypt.hashpw(password, salt)
# 驗證密碼
password_to_check = b'mysecretpassword'
if bcrypt.checkpw(password_to_check, hashed_password):
print("Password is valid!")
else:
print("Invalid password.")
又或是使用scrypt演算法對密碼進行加密:
import scrypt
# 加密密碼
password = b'mysecretpassword'
salt = b'saltsaltsalt'
encrypted_password = scrypt.hash(password, salt, N=16384, r=8, p=1)
# 驗證密碼
password_to_check = b'mysecretpassword'
if scrypt.hash(password_to_check, salt, N=16384, r=8, p=1) == encrypted_password:
print("Password is valid!")
else:
print("Invalid password.")
原理上大同小異,都是基於雜湊(hash)演算法將原始資料對映到一個固定長度的密文上,由於不可逆加密(雜湊演算法)是一種單向的加密方式,無法透過解密來恢復原始資料,因此暴力破解雜湊演算法通常是透過對大量的可能性進行窮舉來嘗試匹配原始資料:
import hashlib
# 載入包含密碼列表的檔案
with open('passwords.txt', 'r') as f:
passwords = f.read().splitlines()
# 載入雜湊值
hash_value = '5d41402abc4b2a76b9719d911017c592'
# 嘗試匹配密碼
for password in passwords:
if hashlib.md5(password.encode()).hexdigest() == hash_value:
print(f"Password found: {password}")
break
else:
print("Password not found.")
網路上所謂的資料庫被“脫庫”,實際上洩露的是密文,隨後駭客使用MD5雜湊演算法來嘗試匹配密碼。如果密碼匹配成功,則輸出匹配的密碼,否則輸出密碼未找到。當然了,像CSDN這種奇行種用明文存密碼的奇葩行為藝術,不能當作普遍現象來考慮。
但其實,所謂的“窮舉”也不是真正意義上的窮舉,因為人類設定密碼就那些規律,出生日期手機號之類,如果是熟人,不可逆加密很容易被試出來,所以為了避免被駭客“試出來”密碼,密碼首先就是要長,要包含數字,大小寫,和符號,這樣可以最大化密碼的可能性。數字10種可能,小寫字母26種可能,大寫字母26種可能,符號34種可能,如果長度是16位,隨機一點,那可能的密碼可能就是96的16次方,有6萬萬億種可能,這要是試出來的話,那得是猴年馬月了:
最後,不可逆加密演算法還可以透過增加鹽值、增加迭代次數等措施來提高密文的安全性。
非對稱加密
非對稱加密也是一種加密演算法,然而與上文所述的對稱加密演算法不同,它使用一對公私鑰(公鑰和私鑰)來加密和解密資料。在非對稱加密中,公鑰是公開的,任何人都可以使用它來加密資料,但只有持有私鑰的人才能夠解密資料。
非對稱加密演算法在以下場景中得到廣泛應用:
安全通訊:非對稱加密可以保護資料在網路傳輸過程中的安全性,如 HTTPS 協議中使用非對稱加密演算法保護網站和使用者之間的資料傳輸。
數字簽名:非對稱加密可以使用私鑰對檔案或者資料進行簽名,以驗證檔案或資料的完整性和真實性,如數字證照中使用非對稱加密演算法保護數字簽名的安全性。
身份驗證:非對稱加密可以使用私鑰進行身份驗證,例如SSH登入或者遠端桌面等,使用公鑰進行身份認證和加密通訊。
在Python3.10中,可以使用標準庫中的 cryptography 模組來實現非對稱加密,以下是使用 cryptography 模組生成一對公私鑰的示例:
from cryptography.hazmat.primitives.asymmetric import rsa, padding
from cryptography.hazmat.primitives import serialization
# 生成公私鑰
private_key = rsa.generate_private_key(public_exponent=65537, key_size=2048)
public_key = private_key.public_key()
# 將公鑰和私鑰儲存到檔案
with open('private_key.pem', 'wb') as f:
f.write(private_key.private_bytes(
encoding=serialization.Encoding.PEM,
format=serialization.PrivateFormat.PKCS8,
encryption_algorithm=serialization.NoEncryption()))
with open('public_key.pem', 'wb') as f:
f.write(public_key.public_bytes(
encoding=serialization.Encoding.PEM,
format=serialization.PublicFormat.SubjectPublicKeyInfo))
這裡使用 rsa 模組生成了一對公私鑰,並使用 serialization 模組將公私鑰儲存到檔案中。在實際使用中,公鑰可以公開使用,而私鑰應該儲存在安全的地方以確保資料的安全性。
在支付系統中,非對稱加密的應用非常廣泛,主要用這套加密演算法來生成簽名和驗籤操作,用來保證支付過程中的安全性,以支付寶支付為例子:
def sign(self, unsigned_string):
# 開始計算簽名
key = self.app_private_key
signer = PKCS1_v1_5.new(key)
signature = signer.sign(SHA256.new(unsigned_string))
# base64 編碼,轉換為unicode表示並移除回車
sign = encodebytes(signature).decode("utf8").replace("\n", "")
return sign
def _verify(self, raw_content, signature):
# 開始計算簽名
key = self.alipay_public_key
signer = PKCS1_v1_5.new(key)
digest = SHA256.new()
digest.update(raw_content.encode("utf8"))
if signer.verify(digest, decodebytes(signature.encode("utf8"))):
return True
return False
公鑰用來生成簽名,私鑰用來驗證簽名。
區塊鏈與非對稱加密
非對稱加密在區塊鏈領域中的應用非常廣泛。區塊鏈是一個去中心化的分散式賬本系統,由於其去中心化的特點,任何人都可以加入網路並參與交易,因此需要使用非對稱加密來保護資料的隱私和安全性。
以下是一些非對稱加密在區塊鏈領域中的應用:
數字簽名:在區塊鏈中,數字簽名用於驗證交易的真實性和完整性。數字簽名的過程是使用私鑰對交易資料進行簽名,然後在交易中包含簽名和公鑰,其他人可以使用公鑰驗證交易的真實性和完整性。
共識演算法:區塊鏈中的共識演算法用於確定哪些交易應該被新增到區塊中。共識演算法通常需要參與者提供一定數量的加密學證據,如雜湊值或數字簽名,以證明他們有權參與共識。
區塊鏈錢包:區塊鏈錢包是用於儲存和管理數字貨幣的介質。錢包通常使用非對稱加密來保護使用者的私鑰,確保使用者的數字貨幣不被盜竊或篡改。
加密貨幣交易所:加密貨幣交易所是用於買賣數字貨幣的平臺。交易所通常使用非對稱加密來保護使用者的身份資訊和交易資料的安全性。
可以使用Python3.10來完成區塊鏈中的數字簽名,同樣使用Python的加密庫 cryptography 來生成公私鑰對、簽名和驗證簽名。下面是一個簡單的示例程式碼:
from cryptography.hazmat.primitives.asymmetric import ec
from cryptography.hazmat.primitives import serialization, hashes
from cryptography.hazmat.primitives.asymmetric.utils import encode_dss_signature, decode_dss_signature
# 生成橢圓曲線公私鑰對
private_key = ec.generate_private_key(ec.SECP256K1())
public_key = private_key.public_key()
# 對資料進行簽名
data = b"hello, world"
signature = private_key.sign(data, ec.ECDSA(hashes.SHA256()))
# 將簽名和資料一起傳輸
signature_bytes = encode_dss_signature(*signature)
data_with_signature = (data, signature_bytes)
# 驗證簽名
data, signature_bytes = data_with_signature
signature = decode_dss_signature(signature_bytes)
public_key.verify(signature, data, ec.ECDSA(hashes.SHA256()))
首先,我們使用 ec.generate_private_key(ec.SECP256K1()) 方法生成一個橢圓曲線私鑰。然後,我們可以透過 private_key.public_key() 方法獲取對應的公鑰。
接著,我們使用私鑰對資料進行簽名。這裡使用 SHA256 雜湊演算法來計算資料的雜湊值,並使用 ECDSA 簽名演算法對雜湊值進行簽名。
隨後,我們將簽名和資料一起傳輸。在實際應用中,簽名和資料通常都是以二進位制資料的形式進行傳輸。
最後,我們可以使用公鑰來驗證簽名。首先,我們需要將簽名從位元組資料解碼為兩個整數。然後,我們可以使用 public_key.verify() 方法來驗證簽名是否正確。如果簽名正確,這個方法將不會丟擲異常;否則,將會丟擲 InvalidSignature 異常。
結語
加密技術隸屬於應用密碼學的範疇,旨在保護資訊的機密性和完整性,以確保只有授權的人可以訪問和使用該資訊。加密技術主要涉及兩種型別的演算法就是本文提到的:對稱加密和非對稱加密。
密碼學在現代社會中的應用非常廣泛,包括網際網路、電子商務、數字支付、電子郵件、社交網路等。它是保護個人隱私和商業機密的重要工具。同時,密碼學也是許多高階安全協議和系統的基礎,例如 SSL/TLS(https/wss)、SSH、PGP、IPSec、Kerberos 等等。