openssl
openssl是个密码工具集,提供多端接口调用方式
组成: 1. 代码库 libcryto ,libssl(ssl/tls) 2. 工具集 openssl
对称加密主要是用aes,des算法
需要注意的是解密不要在源文件操作,否则解密失败源文件也没有了
usage: enc -ciphername [-AadePp] [-base64] [-bufsize number] [-debug] [-in file] [-iv IV] [-K key] [-k password] [-kfile file] [-md digest] [-none] [-nopad] [-nosalt] [-out file] [-pass arg] [-S salt] [-salt] -e 指定加密算法 -d 解密 -a 使用base64编码 -base64 使用base64解码 -in 要加密文件存放位置 -out 加密后的文件存放位置 -k 输入密码 -iv 输入一个向量 加密 $ openssl enc -e aes-128-cbc -in secret.txt -out myAes128.txt 解密 $ openssl enc -d aes-128-cbc -in myAes128.txt -out
使用最多的是sha256,sha512,hmac
md5不再推荐使用,推荐使用sha-2
1.输出值的数据长度不变 2.相同的输入输出也必定相同 3.输入相似的数据,输出也大不相同 4.输入完全不同的数据,输出相同的哈希值会以极低的概率出现
openssl dgst options are -c to output the digest with separating colons -r to output the digest in coreutils format -d to output debug info -hex output as hex dump -binary output in binary form -hmac arg set the HMAC key to arg -verify file verify a signature using public key in file -prverify file verify a signature using private key in file -keyform arg key file format (PEM or ENGINE) -out filename output to filename rather than stdout -signature file signature to verify -sigopt nm:v signature parameter -hmac key create hashed MAC with key -mac algorithm create MAC (not neccessarily HMAC) -md4 to use the md4 message digest algorithm -md5 to use the md5 message digest algorithm -ripemd160 to use the ripemd160 message digest algorithm -sha to use the sha message digest algorithm -sha1 to use the sha1 message digest algorithm -sha224 to use the sha224 message digest algorithm -sha256 to use the sha256 message digest algorithm -sha384 to use the sha384 message digest algorithm -sha512 to use the sha512 message $ cat test.txt | openssl dgst -sha256 -hex -out hash.txt
1. 生成密钥: 用于对称密码和消息认证码 2. 生成密钥对:用于公钥密码和数字签名 3. 生成初始化向量(IV):用于分组密码的CBC,CFB和OFB模式 4. 生成nonce, 用于防御重放攻击以及分组密码的CTR模式等 5. 生成盐,用于基于口令的密码(PBE)等
openssl rand [option] 字节数 where options are -out file - write to file -engine e - use engine e, possibly a hardware device. -rand file:file:... - seed PRNG from files -base64 - base64 encode output -hex - hex encode output $ openssl rand -hex 1 $ openssl rand -base64 10 -out a.txt
一般基于口令的密钥为了防止字典攻击会使用一串随机数加入单向散列函数
openssl passwd Usage: passwd [options] [passwords] where options are -crypt standard Unix password algorithm (default) -1 MD5-based password algorithm -apr1 MD5-based password algorithm, Apache variant -salt string use provided salt -in file read passwords from file -stdin read passwords from stdin -noverify never verify when reading password from terminal -quiet no warnings -table format output as table -reverse switch table columns $ openssl passwd -salt 123
首先使用genrsa生成私钥,然后在使用rsa从私钥中提取公钥
openssl genrsa usage: genrsa [args] [numbits] -des encrypt the generated key with DES in cbc mode -des3 encrypt the generated key with DES in ede cbc mode (168 bit key) -idea encrypt the generated key with IDEA in cbc mode -seed encrypt PEM output with cbc seed -aes128, -aes192, -aes256 encrypt PEM output with cbc aes -camellia128, -camellia192, -camellia256 encrypt PEM output with cbc camellia -out file output the key to 'file -passout arg output file pass phrase source -f4 use F4 (0x10001) for the E value -3 use 3 for the E value -engine e use engine e, possibly a hardware device. $ openssl genrsa -out rsa.key 2048 //生成公钥 $ openssl rsa -in rsa.key -pubout -out rsa-public.key
对证书所发布的公钥进行权威的认证,证书可以有效的避免中间人攻击的问题
1. PKC:Public-Key Certificate,公钥证书,简称证书。 2. CA:Certification Authority,认证机构。对证书进行管理,负责 1.生成密钥对、2. 注册公钥时对身份进行认证、3. 颁发证书、4. 作废证书。其中负责注册公钥和身份认证的,称为 RA(Registration Authority 注册机构) 3. PKI:Public-Key Infrastructure,公钥基础设施,是为了更高效地运用公钥而制定的一系列规范和规格的总称。比较著名的有PKCS(Public-Key Cryptography Standards,公钥密码标准,由 RSA 公司制定)、X.509 等。PKI 是由使用者、认证机构 CA、仓库(保存证书的数据库)组成。 CRL:Certificate Revocation List 证书作废清单,是 CA 宣布作废的证书一览表,会带有 CA 的数字签名。一般由处理证书的软件更新 CRL 表,并查询证书是否有效。 4.证书的编码格式:pem,der
