呵呵呵呵呵

萝莉有三好,柔体 轻音 易推倒。女神有三宝,干嘛 呵呵 去洗澡。宅男有三好:Dota 基友 破电脑。


OpenSSL各种概念小结与命令行用法

OpenSSL各种概念小结与命令行用法

OpenSSL各种概念:公钥/私钥/签名/验证签名/加密/解密/非对称加密

我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,意思就是加密解密的密码不一样.初次接触的人恐怕无论如何都理解不了.其实这是数学上的一个素数积求因子的原理的应用,如果你一定要搞懂,百度有大把大把的资料可以看,其结果就是用这一组密钥中的一个来加密数据,可以用另一个解开.是的没错,公钥和私钥都可以用来加密数据,相反用另一个解开,公钥加密数据,然后私钥解密的情况被称为加密解密,私钥加密数据,公钥解密一般被称为签名和验证签名.

因为公钥加密的数据只有它相对应的私钥可以解开,所以你可以把公钥给人和人,让他加密他想要传送给你的数据,这个数据只有到了有私钥的你这里,才可以解开成有用的数据,其他人就是得到了,也看懂内容.同理,如果你用你的私钥对数据进行签名,那这个数据就只有配对的公钥可以解开,有这个私钥的只有你,所以如果配对的公钥解开了数据,就说明这数据是你发的,相反,则不是.这个被称为签名.

实际应用中,一般都是和对方交换公钥,然后你要发给对方的数据,用他的公钥加密,他得到后用他的私钥解密,他要发给你的数据,用你的公钥加密,你得到后用你的私钥解密,这样最大程度保证了安全性.

RSA/DSA/SHA/MD5

非对称加密的算法有很多,比较著名的有RSA/DSA ,不同的是RSA可以用于加/解密,也可以用于签名验签,DSA则只能用于签名.至于SHA则是一种和md5相同的算法,它不是用于加密解密或者签名的,它被称为摘要算法.就是通过一种算法,依据数据内容生成一种固定长度的摘要,这串摘要值与原数据存在对应关系,就是原数据会生成这个摘要,但是,这个摘要是不能还原成原数据的,嗯....,正常情况下是这样的,这个算法起的作用就是,如果你把原数据修改一点点,那么生成的摘要都会不同,传输过程中把原数据给你再给你一个摘要,你把得到的原数据同样做一次摘要算法,与给你的摘要相比较就可以知道这个数据有没有在传输过程中被修改了.

实际应用过程中,因为需要加密的数据可能会很大,进行加密费时费力,所以一般都会把原数据先进行摘要,然后对这个摘要值进行加密,将原数据的明文和加密后的摘要值一起传给你.这样你解开加密后的摘要值,再和你得到的数据进行的摘要值对应一下就可以知道数据有没有被修改了,而且,因为私钥只有你有,只有你能解密摘要值,所以别人就算把原数据做了修改,然后生成一个假的摘要给你也是不行的,你这边用密钥也根本解不开.

CA/PEM/DER/X509/PKCS

一般的公钥不会用明文传输给别人的,正常情况下都会生成一个文件,这个文件就是公钥文件,然后这个文件可以交给其他人用于加密,但是传输过程中如果有人恶意破坏,将你的公钥换成了他的公钥,然后得到公钥的一方加密数据,不是他就可以用他自己的密钥解密看到数据了吗,为了解决这个问题,需要一个公证方来做这个事,任何人都可以找它来确认公钥是谁发的.这就是CA,CA确认公钥的原理也很简单,它将它自己的公钥发布给所有人,然后一个想要发布自己公钥的人可以将自己的公钥和一些身份信息发给CA,CA用自己的密钥进行加密,这里也可以称为签名.然后这个包含了你的公钥和你的信息的文件就可以称为证书文件了.这样一来所有得到一些公钥文件的人,通过CA的公钥解密了文件,如果正常解密那么机密后里面的信息一定是真的,因为加密方只可能是CA,其他人没它的密钥啊.这样你解开公钥文件,看看里面的信息就知道这个是不是那个你需要用来加密的公钥了.

实际应用中,一般人都不会找CA去签名,因为那是收钱的,所以可以自己做一个自签名的证书文件,就是自己生成一对密钥,然后再用自己生成的另外一对密钥对这对密钥进行签名,这个只用于真正需要签名证书的人,普通的加密解密数据,直接用公钥和私钥来做就可以了.

密钥文件的格式用OpenSSL生成的就只有PEM和DER两种格式,PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母,DER格式是二进制的密钥文件,直接打开,你可以看到........你什么也看不懂!.X509是通用的证书文件格式定义.pkcs的一系列标准是指定的存放密钥的文件标准,你只要知道PEM DER X509 PKCS这几种格式是可以互相转化的.

openssl命令行用法:

生成rsa密钥
openssl genrsa -des3 -out prikey.pem
去除掉密钥文件保护密码
openssl rsa -in prikey.pem -out prikey.pem
分离出公钥
openssl rsa -in prikey.pem -pubout -out pubkey.pem(获取证书中的公钥 openssl req -in myreq.pem  -out -pubkey.pem)
对文件进行签名
open rsautl -sign -inkey prikey.pem -in a.txt -out sig.dat
验证签名
openssl rsautl -verify -inkey prikey.pem -in sig.dat
用公钥对文件加密
openssl rsautl -encrypt -pubin -inkey pubkey.pem -in a.text -out b.text
用私钥解密
openssl rsautl -decrypt -inkey prikey.pem -in b.text
用证书中的公钥加密
opensll rsautl -encrypt -certin -inkey cert1.pem -in a.txt
 
或者
 
 
生成一个没有加密的ca私钥
openssl genrsa -out ca.key.pem 1024
生成ca对应的csr文件
openssl req -new -key ca.key.pem -out ca.csr
自签名
openssl x509 -in ca.csr -out ca.cer -req -signkey ca.key.pem -days 7300 -extensions v3_ca
生成DER格式的私钥
openssl pkcs8 -topk8 -inform PEM -outform DER -in ca.key.pem -out ca.private.der -nocrypt
读取证书的内容,显示在屏幕上
openssl x509 -in server.cer -noout -subject  -nameopt RFC2253
将der格式的证书转成pem格式
openssl  x509  -inform PEM  -outform DER -in server.der -out server.pem

 如果那个命令提示你需要config文件,你在命令行的最后添加-config C:\wamp\bin\apache\apache2.2.8\conf\openssl.cnf,路径是你openssl.cnf的路径,根据你的cnf在哪里放设置.

 

PHP中OpenSSL使用

提取公钥私钥
function get_pubkey($cert_file){
        $fp = fopen($cert_file, "r");
        $cert = fread($fp, 8192);
        fclose($fp);
        $pubkey = openssl_get_publickey($cert);
        $pubkeyid=$pubkey;
        openssl_free_key($pubkey);
        return $pubkeyid;
    }
    
function get_privkey($pri_file){
        $fp = fopen($pri_file, "rb");
        $priv_key = fread($fp, 8192);
        fclose($fp);
        $prikey = openssl_get_privatekey($priv_key,$password);
        $prikeyid=$prikey;
        openssl_free_key($prikey);
        return $prikeyid;
}

 签名,验证签名
function sign_data($data,$priv_key){
        openssl_sign($data, $signature, $priv_key);
        $signature=base64_encode($signature);
        return $signature;
}
function verify_sign($data,$signature,$pubkeyid){
        $signature=base64_decode($signature);
        $ok = openssl_verify($data, $signature, $pubkeyid);
        if($ok==1){
            return $ok;
        }else{
            $sha1 = sha1($data, true);
            $sign = base64_decode($signature);
            $deco = \;
            openssl_public_decrypt($sign, $deco, $pubkeyid);
            if($sha1==$deco){
                $ok=1;
            }else{
                $ok=2;
            }
            return $ok;
        }
        
}

 加密,解密代码可能你们运行不了,有些参数和方法你们没有,发出来大家参考下,原理一样的,改改就能用
function encrypt_data_public( $data_to_encrypt )
  {
    $this->clear_error();
 
 
    $this->string_to_encrypt = $data_to_encrypt;
 
 
    if (! file_exists($this->public_key_path))
    {
      $this->set_error ( PUBLIC_KEY_ERROR, loc_encrypt_invalid_public_key_path );
      return PUBLIC_KEY_ERROR;
    }
 
    $fp = fopen ( $this->public_key_path, "r" );
    $public_key_tmp = fread ( $fp, 8192 );
    fclose( $fp );
 
 
    $public_key = openssl_get_publickey($public_key_tmp);
 
 
    if (!$public_key)
    {
      $this->set_error(PUBLIC_KEY_ERROR, loc_encrypt_openssl_get_public_error);
      openssl_free_key( $public_key );
      return PUBLIC_KEY_ERROR;
    }
    
 
    openssl_public_encrypt( $this->string_to_encrypt, $encrypted_data_tmp, $public_key );
 
 
    if( empty( $encrypted_data_tmp))
    {
      $this->set_error( ENCRYPTION_ERROR, loc_encrypt_empty_return );
      openssl_free_key( $public_key );
      return ENCRYPTION_ERROR;
    }
 
    $ret = $this->verify_encryption( $encrypted_data_tmp );
    if( $ret != TA_SUCCESS )
    {
 
      openssl_free_key($public_key);
      return $ret;
    }
    
    $this->encrypted_data = $encrypted_data_tmp;
    openssl_free_key($public_key);
    return TA_SUCCESS;
  }
 
 
 
 
 
 
 
  function decrypt_data_private( $encrypted_data )
  {
    $this->clear_error();
 
 
    if(! file_exists($this->private_key_path))
    {
      $this->set_error ( PRIVATE_KEY_ERROR, loc_encrypt_invalid_private_key_path );
      return PRIVATE_KEY_ERROR;
    }
 
    $fp=fopen ($this->private_key_path,"r");
    $private_key_tmp = fread( $fp, 8192 );
    fclose($fp);
    
 
    if( $this->passphrase == "" )
    {
      $private_key = openssl_get_privatekey( $private_key_tmp );
    }else{
      $private_key = openssl_get_privatekey( $private_key_tmp, $this->passphrase );
    }
 
 
    if (!$private_key)
    {
      $this->set_error(PRIVATE_KEY_ERROR, loc_encrypt_openssl_get_private_error);
      return PRIVATE_KEY_ERROR;
    }
    
    $ret = openssl_private_decrypt( $encrypted_data, $decrypted, $private_key );
 
 
    if (!$ret)
    {
      $this->set_error( DECRYPTION_ERROR, loc_encrypt_decryption_private_error );
      openssl_free_key($private_key);
      return DECRYPTION_ERROR;
    }
    $this->decrypted_data = $decrypted;
    openssl_free_key($private_key);
    return TA_SUCCESS;
 
  }

原文:http://www.cnblogs.com/phpinfo/archive/2013/08/09/3246376.html

更多内容:

openssl AES解密部分demo
openssl AES加密部分demo
openssl rsa解密部分代码demo
openssl RSA加密部分代码demo
使用openssl对网络传输的数据加密方法

本文链接地址:http://www.hehehehehe.cn/i/725.html