摘要:與對(duì)稱加密不同的是�,非對(duì)稱加密和解密使用的是不同的密鑰���,其中一個(gè)對(duì)外公開(kāi)作為公鑰����,另一個(gè)只有所有者擁有�,稱為私鑰。中提供基于算法的擴(kuò)展可實(shí)現(xiàn)對(duì)數(shù)據(jù)的非對(duì)稱加密����。
與對(duì)稱加密不同的是��,非對(duì)稱加密和解密使用的是不同的密鑰,其中一個(gè)對(duì)外公開(kāi)作為公鑰��,另一個(gè)只有所有者擁有���,稱為私鑰�����。用私鑰加密的信息只有公鑰才能解開(kāi)�����,或者反之用弓腰加密的信息只有私鑰才能解開(kāi)�����。常用的非對(duì)稱加密有RSA算法���,RSA算法基于一個(gè)十分簡(jiǎn)單的數(shù)論事實(shí):將兩個(gè)大質(zhì)數(shù)相乘十分容易����,但是想要對(duì)其乘積進(jìn)行因式分解卻極其困難����,因此可以將乘積公開(kāi)作為加密密鑰。PHP中提供基于RSA算法的openssl擴(kuò)展可實(shí)現(xiàn)對(duì)數(shù)據(jù)的非對(duì)稱加密。
在RSA加解密之前���,需要先生成一對(duì)公私鑰�����,可使用linux自帶的RSA密鑰生成工具openssl獲取一對(duì)公私鑰,也可使用php openssl擴(kuò)展函數(shù)生成一對(duì)公私鑰�。使用linux生成一對(duì)公私鑰執(zhí)行以下命令即可:
bash-3.2# openssl genrsa -out rsa_private_key.pem 1024
bash-3.2# openssl pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -nocrypt -out private_key.pem
bash-3.2# openssl rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem
第一條命令生成原始 RSA私鑰文件 rsa_private_key.pem�����,第二條命令將原始 RSA私鑰轉(zhuǎn)換為 pkcs8格式,第三條生成RSA公鑰 rsa_public_key.pem
從上面看出通過(guò)私鑰能生成對(duì)應(yīng)的公鑰��,因此我們將私鑰private_key.pem用在服務(wù)器端�,公鑰發(fā)放給android ios 桌面程序等客戶端。
筆者生成的一對(duì)公私鑰如下:
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+gDNj4Ag6MvL+yfrHdX4qeQFa
J1epFQXBmOsSWBKoXF5haWM6d5gtETO8FRC6RcwpEKZyy7iSyZ70m4EtGMNQvoOT
gHvIceb5GHGBqqMawTjI71P69DYBjWZoLGt/IX3YJixub8nfTG5KW720LXtT/dXn
PAN9jy20h+TfcXvDgwIDAQAB
-----END PUBLIC KEY-----
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY——
使用PHP生成公私鑰的代碼如下:
$config = array(
"digest_alg" => "sha512",
"private_key_bits" => 4096,
"private_key_type" => OPENSSL_KEYTYPE_RSA,
);
// 創(chuàng)建公私鑰
$res = openssl_pkey_new($config);
// 獲得私鑰 $privKey
openssl_pkey_export($res, $privKey);
// 獲得公鑰 $pubKey
$pubKey = openssl_pkey_get_details($res);
$pubKey = $pubKey["key"];
$data = "hello";
// 私鑰加密
openssl_private_encrypt($data, $encrypted ,$privKey);
// 公鑰解密
openssl_public_decrypt($encrypted, $decrypted, $pubKey);
echo $decrypted;
使用非對(duì)稱加解密的示例代碼如下:
$private_key_path = "rsa_private_key.pem";
$public_key_path = "rsa_public_key.pem";
$private_key = file_get_contents($private_key_path);
$public_key = file_get_contents($public_key_path);
//這個(gè)函數(shù)可用來(lái)判斷私鑰是否是可用的���,可用返回資源id Resource id��,不可用返回false
$pi_key = openssl_pkey_get_private($private_key);
//這個(gè)函數(shù)可用來(lái)判斷公鑰是否是可用的��,同上
$pu_key = openssl_pkey_get_public($public_key);
$data = "hello";//原始數(shù)據(jù)
$encrypted = "";
$decrypted = "";
//私鑰加密,也可使用openssl_public_encrypt公鑰加密,然后使用openssl_private_decrypt解密��,加密后數(shù)據(jù)在$encrypted
openssl_private_encrypt($data,$encrypted,$pi_key);
//加密后的內(nèi)容通常含有特殊字符����,需要編碼轉(zhuǎn)換下,在網(wǎng)絡(luò)間通過(guò)url傳輸時(shí)要注意base64編碼是否是url安全的
$encrypted = base64_encode($encrypted);
//私鑰加密的內(nèi)容通過(guò)公鑰可解密出來(lái),公鑰加密的可用私鑰解密�����。不能混淆
openssl_public_decrypt(base64_decode($encrypted),$decrypted,$pu_key);
echo $decrypted; // hello
//私鑰加密
openssl_private_encrypt($data,$encrypted,$pi_key);
$encrypted = base64_encode($encrypted);
//公鑰解密
openssl_public_decrypt(base64_decode($encrypted),$decrypted,$pu_key);
echo $decrypted; //hello
?>
非對(duì)稱加密的缺點(diǎn)是加密和解密花費(fèi)時(shí)間長(zhǎng)����、速度慢,只適合對(duì)少量數(shù)據(jù)進(jìn)行加密。如果既想有很快的加密速度又想保證數(shù)據(jù)比對(duì)稱加密更加安全����,可使用混合加密����,即對(duì)數(shù)據(jù)進(jìn)行對(duì)稱加密�,對(duì)密鑰做非對(duì)稱加密,因?yàn)橐话忝罔€的長(zhǎng)度會(huì)小于數(shù)據(jù)的長(zhǎng)度。解密的時(shí)候先用非對(duì)稱加密得到密鑰����,再用密鑰解開(kāi)密文得到明文�����。
RSA是目前最有影響力的公鑰加密算法,它能夠抵抗到目前為止已知的絕大多數(shù)密碼攻擊�����,已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)�����。
今天只有短的RSA鑰匙才可能被強(qiáng)力方式解破。到2008年為止����,世界上還沒(méi)有任何可靠的攻擊RSA算法的方式�����。只要其鑰匙的長(zhǎng)度足夠長(zhǎng),用RSA加密的信息實(shí)際上是不能被解破的�。但在分布式計(jì)算和量子計(jì)算機(jī)理論日趨成熟的今天����,RSA加密安全性受到了挑戰(zhàn)�。
本文節(jié)選自 《php7實(shí)踐指南》 陳小龍著
微信掃一掃,發(fā)現(xiàn)更多內(nèi)容
開(kāi)啟贊賞
