Crypto 包介紹:
pycrypto,pycrytodome 和 crypto 是一個東西,crypto 在 python 上面的名字是 pycrypto 它是一個第三方庫,但是已經停止更新,所以不建議安裝這個庫;
windows 下 python3.6 版本以上安裝比較麻煩(本人是 Python3.7,嘗試安裝未成功,如果需要嘗試安裝的,可以參考點擊這里),在安裝無果的情況下,可以安裝 pycryptodome,它是pycrypto 的延伸版本,用法和 pycrypto 是一模一樣的;
pip install pycryptodome
安裝完成后,在 Python 各種引用包存放路徑下,把文件夾 crypto 改為 Crypto 即可。
RSA算法簡介:
RSA加密算法是一種非對稱加密算法,
加密的秘鑰是由公鑰和私鑰兩部分組成秘鑰對,
公鑰用來加密消息,私鑰用來對消息進行解密,
公鑰是公開的,私鑰則是用戶自己保留的,
由於公鑰是公開的,那么任何人只要獲取到公鑰,都可以使用公鑰來加密發送偽造內容,出於安全性考慮,在發送消息之前我們可以使用RSA來簽名。
簽名使用私鑰來進行簽名,使用公鑰來進行驗簽,通過簽名我們可以確保用戶身份的唯一性,從而提高安全性。
from Crypto.PublicKey import RSA import Crypto.Signature.PKCS1_v1_5 as sign_PKCS1_v1_5 # 用於簽名/驗簽 from Crypto.Cipher import PKCS1_v1_5 # 用於加密 from Crypto import Random from Crypto import Hash # 手動生成一個密鑰對(項目中的密鑰對一般由開發來生成),生成密鑰對的時候,可以指定生成的長度,一般推薦使用1024bit, # 1024bit的rsa公鑰,最多只能加密117byte的數據,數據流超過這個數則需要對數據分段加密, # 目前1024bit長度的密鑰已經被證明了不夠安全,盡量使用2048bit長度的密鑰,2048bit長度密鑰最多能加密245byte長度的數據 計算長度公式:密鑰長度/8 - 11 = 最大加密量 (單位 bytes) 下面生成一對2048bit的密鑰: x = RSA.generate(2048) # y = RSA.generate(2048, Random.new().read) #也可以使用偽隨機數來輔助生成 s_key = x.export_key() #私鑰 g_key = x.publickey().export_key() #公鑰 # print("私鑰:", s_key) # print("公鑰:", g_key) # 寫入文件 # with open("c.pem", "wb") as x: # x.write(s_key) # with open("d.pem", "wb") as x: # x.write(g_key) #從文件導入密鑰 -- 通過私鑰生成公鑰 (公鑰不會變 -- 用於只知道私鑰的情況)--2 # with open('c.pem','rb')as x: # s_key = RSA.importKey(x.read()) # # new_g_key = s_key.publickey().export_key() # # print(new_g_key) # # cert = s_key.export_key("DER") #生成證書 -- 它和私鑰是唯一對應的 # print(cert) #實現RSA 非對稱加解密 my_private_key = s_key # 私鑰 my_public_key = g_key # 公鑰
① 使用公鑰 - 私鑰對信息進行"加密" + "解密"
''' 作用:對信息進行公鑰加密,私鑰解密。 應用場景: A想要加密傳輸一份數據給B,擔心使用對稱加密算法易被他人破解(密鑰只有一份,一旦泄露,則數據泄露),故使用非對稱加密。 信息接收方可以生成自己的秘鑰對,即公私鑰各一個,然后將公鑰發給他人,私鑰自己保留。 A使用公鑰加密數據,然后將加密后的密文發送給B,B再使用自己的私鑰進行解密,這樣即使A的公鑰和密文均被第三方得到, 第三方也要知曉私鑰和加密算法才能解密密文,大大降低數據泄露風險。 ''' def encrypt_with_rsa(plain_text): #先公鑰加密 cipher_pub_obj = PKCS1_v1_5.new(RSA.importKey(my_public_key)) _secret_byte_obj = cipher_pub_obj.encrypt(plain_text.encode()) return _secret_byte_obj def decrypt_with_rsa(_secret_byte_obj): #后私鑰解密 cipher_pri_obj = PKCS1_v1_5.new(RSA.importKey(my_private_key)) _byte_obj = cipher_pri_obj.decrypt(_secret_byte_obj, Random.new().read) plain_text = _byte_obj.decode() return plain_text def executer_without_signature(): #加解密驗證 text = "I love CA!" assert text == decrypt_with_rsa(encrypt_with_rsa(text)) print("rsa test success!")
② 使用私鑰 - 公鑰對信息進行"簽名" + "驗簽"
''' 作用:對解密后的文件的完整性、真實性進行驗證(繁瑣但更加保險的做法,很少用到) 應用場景: A有一私密文件欲加密后發送給B,又擔心因各種原因導致B收到並解密后的文件並非完整、真實的原文件(可能被篡改或丟失一部分), 所以A在發送前對原文件進行簽名,將[簽名和密文]一同發送給B讓B收到后用做一下文件的[解密 + 驗簽], 均通過后-方可證明收到的原文件的真實性、完整性。 ''' def to_sign_with_private_key(plain_text): #私鑰簽名 signer_pri_obj = sign_PKCS1_v1_5.new(RSA.importKey(my_private_key)) rand_hash = Hash.SHA256.new() rand_hash.update(plain_text.encode()) signature = signer_pri_obj.sign(rand_hash) return signature def to_verify_with_public_key(signature, plain_text): #公鑰驗簽 verifier = sign_PKCS1_v1_5.new(RSA.importKey(my_public_key)) _rand_hash = Hash.SHA256.new() _rand_hash.update(plain_text.encode()) verify = verifier.verify(_rand_hash, signature) return verify #true / false def executer_with_signature(): #簽名/驗簽 text = "I love CA!" assert to_verify_with_public_key(to_sign_with_private_key(text), text) print("rsa Signature verified!") if __name__ == '__main__' : executer_without_signature() # 只加密不簽名 executer_with_signature() #只簽名不加密 #二者結合食用更佳 ''' 如果是加密的同時又要簽名,這個時候稍微有點復雜。 1、發送者和接收者需要各持有一對公私鑰,也就是4個鑰匙。 2、接收者的公私鑰用於機密信息的加解密 3、發送者的公私鑰用於機密信息的簽名/驗簽 4、接收者和發送者都要提前將各自的[公鑰]告知對方。 '''