轉(zhuǎn)載:原文地址
在上一篇文章垒迂,講述了非對(duì)稱加密,也就是RSA的數(shù)據(jù)原理和簡(jiǎn)單實(shí)用柒啤,那么在這篇文章將要講述的就是對(duì)稱加密倦挂,其中以Hash(散列算法,哈希函數(shù))最為廣為人知担巩。
Hash方援,一般翻譯做“散列”,也有直接音譯為“哈咸伟”的肯骇,就是把任意長(zhǎng)度的輸入通過(guò)散列算法變換成固定長(zhǎng)度的輸出,該輸出就是散列值祖很。這種轉(zhuǎn)換是一種壓縮映射,也就是漾脂,散列值的空間通常遠(yuǎn)小于輸入的空間假颇,不同的輸入可能會(huì)散列成相同的輸出,所以不可能從散列值來(lái)確定唯一的輸入值骨稿。簡(jiǎn)單的說(shuō)就是一種將任意長(zhǎng)度的消息壓縮到某一固定長(zhǎng)度的消息摘要的函數(shù)笨鸡。
接下來(lái)本文會(huì)從以下幾點(diǎn)進(jìn)行闡述:
- Hash的特點(diǎn)
- Hash的用途
- 對(duì)稱加密
1、Hash的特點(diǎn)
①坦冠、算法是公開(kāi)的
②形耗、對(duì)相同數(shù)據(jù)運(yùn)算,得到的結(jié)果是一樣的
③、對(duì)不同數(shù)據(jù)運(yùn)算,如MD5得到的結(jié)果默認(rèn)是128位,32個(gè)字符(16進(jìn)制標(biāo)識(shí))辙浑。
④激涤、這玩意沒(méi)法逆運(yùn)算
⑤、信息摘要判呕,信息“指紋”倦踢,是用來(lái)做數(shù)據(jù)識(shí)別的。
2侠草、Hash的用途
①辱挥、用戶密碼的加密
②、搜索引擎
③边涕、版權(quán)
④晤碘、數(shù)字簽名
下面概述密碼加密和數(shù)字簽名的內(nèi)容
1、密碼加密
Step 1
密碼加密需要確保服務(wù)端沒(méi)有保留保存用戶的明文密碼功蜓,所以過(guò)程很安全的RSA就不適合用戶密碼加密园爷。
Step 2 普通HASH
普通的Hash因?yàn)榇嬖谏⒘信鲎驳膯?wèn)題,所以簡(jiǎn)單的對(duì)密碼HASH(例如MD5)霞赫,肯定不夠安全腮介。推薦網(wǎng)站:反MD5網(wǎng)站
Step 3 固定鹽
既然簡(jiǎn)單的Hash不安全那么進(jìn)一步可以想到將密碼通過(guò)固定的算法轉(zhuǎn)換一次,在進(jìn)行Hash端衰,也就是我們俗稱的加鹽叠洗。這種方法看似安全甘改,但由于算法固定,那么實(shí)際上接觸過(guò)這個(gè)算法的人員還是蠻多的灭抑,就比如寫這串算法的程序員十艾,一旦程序員離職,那么算法也就變的不在安全腾节。
Step 4 動(dòng)態(tài)鹽(HMAC)
固定的算法不行忘嫉,那么就改成動(dòng)態(tài)的算法,算法參數(shù)由服務(wù)器針對(duì)個(gè)人下發(fā)案腺,那么無(wú)論誰(shuí)的離職也都不影響算法的私密性庆冕。這樣雖然保護(hù)了用戶的明文密碼,但是黑客通過(guò)中間人攻擊的形式還是可以獲取服務(wù)器返回給我們的用戶token劈榨,那么黑客還是可以每次通過(guò)這個(gè)token來(lái)獲取該用戶的信息访递,所以還是不夠安全。
Step 5 動(dòng)態(tài)鹽(HMAC)+ 時(shí)間戳
最后同辣,就是要讓每次用戶的token不一樣拷姿,那么可以采用,動(dòng)態(tài)鹽+時(shí)間戳的方式進(jìn)行最終的驗(yàn)證。
也就是((HMAC哈希值)+”201902281250”).md5
最終服務(wù)端用也用同樣的的方式校驗(yàn)旱函,唯一不一樣的是考慮到服務(wù)傳遞的延時(shí)响巢,時(shí)間戳也要考慮到上一分鐘的情況。
2棒妨、數(shù)字簽名
一張圖講解數(shù)字簽名
3踪古、對(duì)稱加密
對(duì)稱加密含義
常用的對(duì)稱加密分為三種:
| 方式 | 含義 |
|---|---|
| DES | 數(shù)據(jù)加密標(biāo)準(zhǔn)(用得少,因?yàn)閺?qiáng)度不夠) |
| 3DES | 使用3個(gè)密鑰券腔,對(duì)相同的數(shù)據(jù)執(zhí)行3次加密灾炭,強(qiáng)度增強(qiáng) |
| AES | 高級(jí)密碼標(biāo)準(zhǔn) |
其中AES為現(xiàn)在的的主流加密方式,AES有具體分為ECB和CBC兩種加密模式:
ECB(Electronic Code Book):電子密碼本模式颅眶。每一塊數(shù)據(jù)蜈出,獨(dú)立加密。
最基本的加密模式涛酗,也就是通常理解的加密铡原,相同的明文將永遠(yuǎn)加密成相同的密文,無(wú)初始向量商叹,容易受到密碼本重放攻擊燕刻,一般情況下很少用。
CBC(Cipher Block Chaining):密碼分組鏈接模式剖笙。使用一個(gè)密鑰和一個(gè)初始化向量[IV]對(duì)數(shù)據(jù)執(zhí)行加密卵洗。
明文被加密前要與前面的密文進(jìn)行異或運(yùn)算后再加密,因此只要選擇不同的初始向量,相同的密文加密后會(huì)形成不同的密文过蹂,這是目前應(yīng)用最廣泛的模式十绑。CBC加密后的密文是上下文相關(guān)的,但明文的錯(cuò)誤不會(huì)傳遞到后續(xù)分組酷勺,但如果一個(gè)分組丟失本橙,后面的分組將全部作廢(同步錯(cuò)誤)。
特點(diǎn):CBC可以有效的保證密文的完整性脆诉,如果一個(gè)數(shù)據(jù)塊在傳遞是丟失或改變甚亭,后面的數(shù)據(jù)將無(wú)法正常解密。
對(duì)稱加密終端命令:
加密:
// AES(ECB)加密“hello”字符串
$ echo -n hello | openssl enc -aes-128-ecb -K 616263 -nosalt | base64
// AES(CBC)加密“hello”字符串
$ echo -n hello | openssl enc -aes-128-cbc -iv 0102030405060708 -K 616263 -nosalt | base64
解密:
// AES(ECB)解密
$ echo -n d1QG4T2tivoi0Kiu3NEmZQ== | base64 -D | openssl enc -aes-128-ecb -K 616263 -nosalt –d
// AES(CBC)解密
$ echo -n u3W/N816uzFpcg6pZ+kbdg== | base64 -D | openssl enc -aes-128-cbc -iv 0102030405060708 -K 616263 -nosalt –d
轉(zhuǎn)載:原文地址
經(jīng)原作者同意:想交流iOS開(kāi)發(fā)击胜,逆向等技術(shù)亏狰,可加iOS技術(shù)交流群:624212887,進(jìn)行交流偶摔!
