热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

简单理解rsa的加密和签名PHP实现

我们先动手在linux上生成一下rsaPs:openssl是一堆加密算法和安全协议的开源集合,像RSA,DES,MD5,RC4等等,都能在openssl里面找到源代码

我们先动手在linux上生成一下rsa

Ps:openssl是一堆加密算法和安全协议的开源集合,像RSA,DES,MD5,RC4等等,都能在openssl里面找到源代码.

用openssl指定生成test.key文件,其中包含公钥+私钥,1024为生成密钥长度

tb@tb:~/mimi$ openssl genrsa -out test.key 1024
Generating RSA private key, 1024 bit long modulus
.++++++
....................................................++++++
e is 65537 (0x10001)

可以简单查看下,注意这里包括私钥+公钥

vim test.key
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

~
通过下面命令生成公钥出来

tb@tb:~/mimi$ openssl rsa -in test.key -pubout -out test_pub.key
writing RSA key

此时我们有公钥test_pub.key和公钥+私钥test.key

tb@tb:~/mimi$ ls
test.key test_pub.key

可以查看下公钥,短了点

tb@tb:~/mimi$ vim test_pub.key -----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCpS7mxdU6svbDcs10qbq9f9t5D
4yfqC1jLmZD3GDD4D/8TbNkfvcYDvde6nyPRSxrnzl9YmZhJKlP2iCIwdwwmW6yu
lXZyvPurfN/1AJt4JYDxnN/qu1bSG5DZMribLsR2dlfA5J0D6lQ7g40eSgp4D6UW
y8ezLy6UWFQCrnUHEQIDAQAB
-----END PUBLIC KEY-----
tb@tb:~/mimi$

我们为了测试,新建了一个demo.php

tb@tb:~/mimi$ cat demo.php
tb@tb:~/mimi$

我们加密下demo.php,-in指定加密文件,-inkey 指定密钥,-pubin 意思用公钥加密-out输出文件

tb@tb:~/mimi$ openssl rsautl -encrypt -in demo.php -inkey test_pub.key -pubin -out demo.en
tb@tb:~/mimi$ ls
demo.en demo.php test.key test_pub.key

我们看加密后的demo.php,完全看不懂。。看来加密成功。

tb@tb:~/mimi$ cat demo.en
z0?!1I¢+i2?Y? 縏,°?¨IB?}?¤9§???stBI??]〢sk膷j-???1日T-′.)J?qz+{°Qˉ3tb@tb:~/mimi$

然后我们需要把加密后的demo.php解密回来,-inkey指定解密文件,

tb@tb:~/mimi$ openssl rsautl -decrypt -in demo.en -inkey test.key -out demo.cn

下面的demo.cn就是解密后的文件,

tb@tb:~/mimi$ ls
demo.cn demo.php test_pub.key
demo.en test.key
tb@tb:~/mimi$ cat demo.cn
tb@tb:~/mimi$

应用:

一、服务端/移动端(ios,android)加密:流程

1、生成rsa公钥,私钥
2、移动端保留私钥,通过http将公钥传输给服务端(如http,需要base64_e(d)ncode函数对,因为会有特殊字符)
3、服务端接受公钥后,用公钥把对称加密aes的key加密,
4、服务端把需要给移动端的数据data用对称加密算法aes 加密
5、服务端把加密的data和加密的aes key给移动端
6、移动端通过私钥把服务端用公钥加密的key解密,然后用aes解密data数据

但是这个怎么交互,怎么识别,包括怎么不影响传输效率,最小减轻服务器压力。本人还没有概念。。不知道支付宝啥的怎么做的。希望大神指教

二、验证签名

1
发送方用一个hash算法对数据生成数据的摘要,然后用私钥对摘要进行签名,将此摘要和整体数据给接收方。接收方收到摘要和整体数据,用公钥解密,得到摘要。到此只能证明消息确实由发送方发出,但是怎么确定中途有没有被篡改呢?

2
接收方在对消息进行文件hash,生成摘要,如果接收方生成的摘要和用公钥解密后的摘要相等。那么就证明了文件确实为发送方发送,而且没有被篡改。

3
简而言之:
一-->公钥加密,私钥解密。
二-->私钥签名,公钥验证。

EXAMPLE WITH PHP
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-----END RSA PRIVATE KEY-----";$public_key = "-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCpS7mxdU6svbDcs10qbq9f9t5D
4yfqC1jLmZD3GDD4D/8TbNkfvcYDvde6nyPRSxrnzl9YmZhJKlP2iCIwdwwmW6yu
lXZyvPurfN/1AJt4JYDxnN/qu1bSG5DZMribLsR2dlfA5J0D6lQ7g40eSgp4D6UW
y8ezLy6UWFQCrnUHEQIDAQAB
-----END PUBLIC KEY-----";//获取所有支持算法,cipher 就是密码,算法计算的意思
$methods=openssl_get_cipher_methods();// var_dump($methods);$data="原始数据为: 用私钥加密origin data1";
$method="AES-128-CBC";//通过私钥加密,生成$crypted;
openssl_private_encrypt($data, $crypted, $private_key);// 由于php 进行openssl_public_encrypt 加密后返回的是二进制数据,需要对其返回的加密后的数据进行二进制16进制编码base64_encode才可以显示,$crypted为加密后的串
$crypted=base64_encode($crypted);echo "私钥加密后的结果为:".$crypted."\n";//相应的:加密后生产的16进制加密字符串需要进行base64_decode进行解密后在进行openssl_private_decrypt
$crypted=base64_decode($crypted);openssl_public_decrypt($crypted, $decrypted , $public_key);echo "用公钥解密的结果为".($decrypted)."\n";
echo"===================我是分割线==============\n";
$data="用公钥加密origin data2\n";
$method="AES-128-CBC";//通过公钥加密,生成$crypted;
openssl_public_encrypt($data, $crypted, $public_key);// 由于php 进行openssl_public_encrypt 加密后返回的是二进制数据,需要对其返回的加密后的数据进行二进制16进制编码base64_encode才可以显示,$crypted为加密后的串
$crypted=base64_encode($crypted);echo "公钥加密后的结果为:".$crypted."\n";//相应的:加密后生产的16进制加密字符串需要进行base64_decode进行解密后在进行openssl_private_decrypt
$crypted=base64_decode($crypted);openssl_private_decrypt($crypted, $decrypted , $private_key);echo "用私钥解密的结果为".($decrypted)."\n";

大php执行结果:

图片描述

HELP

不知道具体参数有哪些,可以这样简单看一下。
openssl rsa --h
unknown option --h
rsa [options] outfile
where options are
-inform arg input format - one of DER NET PEM
-outform arg output format - one of DER NET PEM
-in arg input file
-sgckey Use IIS SGC key format
-passin arg input file pass phrase source
-out arg output file
-passout arg output file pass phrase source
-des encrypt PEM output with cbc des
-des3 encrypt PEM output with ede cbc des using 168 bit key
-seed encrypt PEM output with cbc seed
-aes128, -aes192, -aes256 encrypt PEM output with cbc aes
-camellia128, -camellia192, -camellia256 encrypt PEM output with cbc camellia
-text print the key in text
-noout don't print key out
-modulus print the RSA key modulus
-check verify key consistency
-pubin expect a public key in input file
-pubout output a public key
-engine e use engine e, possibly a hardware device.

2018-02-26补充

  1. 服务端生成一对非对称加密key ServerPublicKey ServerPrivateKey
  2. app端编码中写入服务端告知的 ServerPublicKey,同时app端可以自己生成一对 AppPublicKey 和 AppPrivateKey
  3. app1第一次请求服务端时,app端用ServerPublicKey 加密 对称加密aes的 keyRandom (可每端一样,也可以完全随机。以下称为aeskey)
    ,app1的硬件uuid,app1的publickey(需要base64) ,以及额外的此次消息的datamsg等自定义字段。
    app2第一次请求服务端时,app端用ServerPublicKey 加密 对称加密aes的 keyRandom (可每端一样,也可以完全随机。以下称为aeskey),app2的硬件uuid,app2的publickey(需要base64) ,以及额外的此次消息的datamsg等自定义字段。
  4. 服务端收到app各端的请求,用ServerPrivateKey可以解开每个端的app1,app2的
    aeskey,以及每个app的uuid,AppPublicKey,可以存储再以下表中为以后验证(保证每个uuid的key是一样的,如果不同就异常错误)及作弊统计黑名单等工作

appuuid AppPublicKey aeskeyxxoo asdfasd!#@ rrrrddeef ujoi!@#!@¥ rrrr

至此第一次aeskey算是握手部分完成。这样的好处是只有反编译之后,才能拿到ServerPublicKey。

6.下次app再向服务端发送请求,将数据用约定好的(当然用以下5,6的步骤可以随机生成)aeskey加密,。

7.服务端用步骤4中的已知aeskey解密app端的发送过来的数据后,再用同样的aes可以解开即可。

8.另外服务端主动推送的时候,也可以用那个共有的aeskey加密后推送数据

如果要做到更好(有必要吗):
从第5步应该这样:

5.客户端传递三个自定义字段:一个为用ServerPublicKey 加密的aeskey,另一个为uuid,另外为真正的data

6,服务端用ServerPrivateKey可以解开uuid,然后去数据库中查到到每个uuid对应的不同aeskey,然后用这个数据aes去加密数据

另外如果需要验证一致性仍然可以用hash签名。



推荐阅读
  • 深入解析 OpenSSL 生成 SM2 证书:非对称加密技术与数字证书、数字签名的关联分析
    本文深入探讨了 OpenSSL 在生成 SM2 证书过程中的技术细节,重点分析了非对称加密技术在数字证书和数字签名中的应用。非对称加密通过使用公钥和私钥对数据进行加解密,确保了信息传输的安全性。公钥可以公开分发,用于加密数据或验证签名,而私钥则需严格保密,用于解密数据或生成签名。文章详细介绍了 OpenSSL 如何利用这些原理生成 SM2 证书,并讨论了其在实际应用中的安全性和有效性。 ... [详细]
  • 本文详细介绍了如何使用OpenSSL自建CA证书的步骤,包括准备工作、生成CA证书、生成服务器待签证书以及证书签名等过程。 ... [详细]
  • 兆芯X86 CPU架构的演进与现状(国产CPU系列)
    本文详细介绍了兆芯X86 CPU架构的发展历程,从公司成立背景到关键技术授权,再到具体芯片架构的演进,全面解析了兆芯在国产CPU领域的贡献与挑战。 ... [详细]
  • 本文对SQL Server系统进行了基本概述,并深入解析了其核心功能。SQL Server不仅提供了强大的数据存储和管理能力,还支持复杂的查询操作和事务处理。通过MyEclipse、SQL Server和Tomcat的集成开发环境,可以高效地构建银行转账系统。在实现过程中,需要确保表单参数与后台代码中的属性值一致,同时在Servlet中处理用户登录验证,以确保系统的安全性和可靠性。 ... [详细]
  • 深入解析HTTPS:保障Web安全的加密协议
    本文详细探讨了HTTPS协议在保障Web安全中的重要作用。首先分析了HTTP协议的不足之处,包括数据传输过程中的安全性问题和内容加密的缺失。接着介绍了HTTPS如何通过使用公钥和私钥的非对称加密技术以及混合加密机制,确保数据的完整性和机密性。最后强调了HTTPS的安全性和可靠性,为现代网络通信提供了坚实的基础。 ... [详细]
  • 本文整理了一份基础的嵌入式Linux工程师笔试题,涵盖填空题、编程题和简答题,旨在帮助考生更好地准备考试。 ... [详细]
  • 本文详细介绍了在 Ubuntu 系统上搭建 Hadoop 集群时遇到的 SSH 密钥认证问题及其解决方案。通过本文,读者可以了解如何在多台虚拟机之间实现无密码 SSH 登录,从而顺利启动 Hadoop 集群。 ... [详细]
  • 本文详细探讨了在ASP.NET环境中通过加密数据库连接字符串来提升数据安全性的方法。加密技术不仅能够有效防止敏感信息泄露,还能增强应用程序的整体安全性。文中介绍了多种加密手段及其实施步骤,帮助开发者在日常开发过程中更好地保护数据库连接信息,确保数据传输的安全可靠。 ... [详细]
  • 本文深入探讨了MD5与SHA1哈希算法在实际应用中的表现及其安全性。通过对这两种算法的详细分析,揭示了它们在数据完整性验证和密码存储等方面的优势与局限。文章不仅介绍了算法的基本原理,还讨论了近年来针对这些算法的安全性攻击,并提出了改进措施和替代方案。希望读者能够通过本文对哈希算法有更全面的理解。 ... [详细]
  • H3C防火墙自动构建安全隧道
    实验拓扑结构:两端采用静态IP地址配置。H3C防火墙能够自动构建IPSec安全隧道,确保数据传输的安全性。通过配置防火墙的非信任区域,实现自动化安全连接的建立与维护,有效提升网络防护能力。 ... [详细]
  • Linux下MySQL 8.0.28安装指南
    本文详细介绍了在Linux系统上安装MySQL 8.0.28的步骤,包括下载数据库、解压数据包、安装必要组件和启动MySQL服务。 ... [详细]
  • 用阿里云的免费 SSL 证书让网站从 HTTP 换成 HTTPS
    HTTP协议是不加密传输数据的,也就是用户跟你的网站之间传递数据有可能在途中被截获,破解传递的真实内容,所以使用不加密的HTTP的网站是不 ... [详细]
  • Linux CentOS 7 安装PostgreSQL 9.5.17 (源码编译)
    近日需要将PostgreSQL数据库从Windows中迁移到Linux中,LinuxCentOS7安装PostgreSQL9.5.17安装过程特此记录。安装环境&#x ... [详细]
  • 河北省工业和信息化厅公文收发管理系统
    河北省工业和信息化厅及其下属各地市工信管理部门之间的文件传输主要依赖于纸质或电子邮件方式,这种方式存在效率低下、安全性差等问题。为了解决这些问题,省工信厅计划开发一套公文收发管理系统,实现文件的电子化和统一管理。 ... [详细]
  • 基于Linux开源VOIP系统LinPhone[四]
    ****************************************************************************************** ... [详细]
author-avatar
咔西咔嘻
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有