轉載:原文地址
在上一篇文章,講述了非對稱加密,也就是RSA的數據原理和簡單實用,那么在這篇文章將要講述的就是對稱加密,其中以Hash(散列算法,哈希函數)最為廣為人知。
Hash,一般翻譯做“散列”,也有直接音譯為“哈希”的,就是把任意長度的輸入通過散列算法變換成固定長度的輸出,該輸出就是散列值。這種轉換是一種壓縮映射,也就是,散列值的空間通常遠小于輸入的空間,不同的輸入可能會散列成相同的輸出,所以不可能從散列值來確定唯一的輸入值。簡單的說就是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數。
接下來本文會從以下幾點進行闡述:
- Hash的特點
- Hash的用途
- 對稱加密
1、Hash的特點
①、算法是公開的
②、對相同數據運算,得到的結果是一樣的
③、對不同數據運算,如MD5得到的結果默認是128位,32個字符(16進制標識)。
④、這玩意沒法逆運算
⑤、信息摘要,信息“指紋”,是用來做數據識別的。
2、Hash的用途
①、用戶密碼的加密
②、搜索引擎
③、版權
④、數字簽名
下面概述密碼加密和數字簽名的內容
1、密碼加密
Step 1
密碼加密需要確保服務端沒有保留保存用戶的明文密碼,所以過程很安全的RSA就不適合用戶密碼加密。
Step 2 普通HASH
普通的Hash因為存在散列碰撞的問題,所以簡單的對密碼HASH(例如MD5),肯定不夠安全。推薦網站:反MD5網站
Step 3 固定鹽
既然簡單的Hash不安全那么進一步可以想到將密碼通過固定的算法轉換一次,在進行Hash,也就是我們俗稱的加鹽。這種方法看似安全,但由于算法固定,那么實際上接觸過這個算法的人員還是蠻多的,就比如寫這串算法的程序員,一旦程序員離職,那么算法也就變的不在安全。
Step 4 動態鹽(HMAC)
固定的算法不行,那么就改成動態的算法,算法參數由服務器針對個人下發,那么無論誰的離職也都不影響算法的私密性。這樣雖然保護了用戶的明文密碼,但是黑客通過中間人攻擊的形式還是可以獲取服務器返回給我們的用戶token,那么黑客還是可以每次通過這個token來獲取該用戶的信息,所以還是不夠安全。
Step 5 動態鹽(HMAC)+ 時間戳
最后,就是要讓每次用戶的token不一樣,那么可以采用,動態鹽+時間戳的方式進行最終的驗證。
也就是((HMAC哈希值)+”201902281250”).md5
最終服務端用也用同樣的的方式校驗,唯一不一樣的是考慮到服務傳遞的延時,時間戳也要考慮到上一分鐘的情況。
2、數字簽名
一張圖講解數字簽名
3、對稱加密
對稱加密含義
常用的對稱加密分為三種:
| 方式 | 含義 |
|---|---|
| DES | 數據加密標準(用得少,因為強度不夠) |
| 3DES | 使用3個密鑰,對相同的數據執行3次加密,強度增強 |
| AES | 高級密碼標準 |
其中AES為現在的的主流加密方式,AES有具體分為ECB和CBC兩種加密模式:
ECB(Electronic Code Book):電子密碼本模式。每一塊數據,獨立加密。
最基本的加密模式,也就是通常理解的加密,相同的明文將永遠加密成相同的密文,無初始向量,容易受到密碼本重放攻擊,一般情況下很少用。
CBC(Cipher Block Chaining):密碼分組鏈接模式。使用一個密鑰和一個初始化向量[IV]對數據執行加密。
明文被加密前要與前面的密文進行異或運算后再加密,因此只要選擇不同的初始向量,相同的密文加密后會形成不同的密文,這是目前應用最廣泛的模式。CBC加密后的密文是上下文相關的,但明文的錯誤不會傳遞到后續分組,但如果一個分組丟失,后面的分組將全部作廢(同步錯誤)。
特點:CBC可以有效的保證密文的完整性,如果一個數據塊在傳遞是丟失或改變,后面的數據將無法正常解密。
對稱加密終端命令:
加密:
// AES(ECB)加密“hello”字符串
$ echo -n hello | openssl enc -aes-128-ecb -K 616263 -nosalt | base64
// AES(CBC)加密“hello”字符串
$ echo -n hello | openssl enc -aes-128-cbc -iv 0102030405060708 -K 616263 -nosalt | base64
解密:
// AES(ECB)解密
$ echo -n d1QG4T2tivoi0Kiu3NEmZQ== | base64 -D | openssl enc -aes-128-ecb -K 616263 -nosalt –d
// AES(CBC)解密
$ echo -n u3W/N816uzFpcg6pZ+kbdg== | base64 -D | openssl enc -aes-128-cbc -iv 0102030405060708 -K 616263 -nosalt –d
轉載:原文地址
經原作者同意:想交流iOS開發,逆向等技術,可加iOS技術交流群:624212887,進行交流!
