一、場景
工作中的一個場景:Go 需要對信息加解密,但是研究了 GmSSL Go API 文檔之后,發現是依賴於 CGO 的,同事配了半天環境沒配成功。於是換了一個方法,選擇 Go 調 Python 腳本執行加解密。之前我是寫過 Python 對信息使用國密 sm2 算法進行加解密的,因此比較方便。
二、代碼
import sys
from gmssl import sm2
from base64 import b64encode, b64decode
# sm2的公私鑰
SM2_PRIVATE_KEY = '00B9AB0B828FF68872F21A837FC303668428DEA11DCD1B24429D0C99E24EED83D5'
SM2_PUBLIC_KEY = 'B9C9A6E04E9C91F7BA880429273747D7EF5DDEB0BB2FF6317EB00BEF331A83081A6994B8993F3F5D6EADDDB81872266C87C018FB4162F5AF347B483E24620207'
sm2_crypt = sm2.CryptSM2(public_key=SM2_PUBLIC_KEY, private_key=SM2_PRIVATE_KEY)
# 加密
def encrypt(info):
encode_info = sm2_crypt.encrypt(info.encode(encoding="utf-8"))
encode_info = b64encode(encode_info).decode() # 將二進制bytes通過base64編碼
return encode_info
# 解密
def decrypt(info):
decode_info = b64decode(info.encode()) # 通過base64解碼成二進制bytes
decode_info = sm2_crypt.decrypt(info).decode(encoding="utf-8")
return decode_info
if __name__ == "__main__":
action = sys.argv[1] # 取命令中的加解密動作
contact_info = sys.argv[2] # 取命令中需要加解密的內容
if action == "encrypt":
encrypted_contact_info = encrypt(contact_info)
print(encrypted_contact_info)
if action == "decrypt":
decrypted_contact_info = decrypt(contact_info)
print(decrypted_contact_info)
在 VSCode 的 Terminal 執行命令:
$ C:/Users/admin/anaconda3/envs/xxx/python.exe d:/Code/python/sm2_test.py encrypt 123456
輸出加密后的內容:
H24OlVZgSTtevCW138O+C5PlZp8OiD920JnpVr7r9ndkGBWFZUVDD48iIVrZRnamgosV5910m9k0438WpIyi0guEt8F5inG7Y5A51whRfdPZ+qdvWVQxI857CBEzkb3h1bMp1ETQ
再執行解密:
$ C:/Users/admin/anaconda3/envs/xxx/python.exe d:/Code/python/sm2_test.py decrypt H24OlVZgSTtevCW138O+C5PlZp8OiD920JnpVr7r9ndkGBWFZUVDD48iIVrZRnamgosV5910m9k0438WpIyi0guEt8F5inG7Y5A51whRfdPZ+qdvWVQxI857CBEzkb3h1bMp1ETQ
輸出解密后的內容:
123456
可以正確加密解密。
解釋一下執行腳本的參數,可以參考這篇教程。
- sys.argv[0] 表示腳本名;
- sys.argv[1] 表示要調用的加解密動作;
- sys.argv[2] 表示要加解密的內容。
如上圖所示,命令行參數分別對應:
- sys.argv[0]: d:/Code/python/sm2_test.py
- sys.argv[1]: encrypt
- sys.argv[2]: 123456
三、補充
展開講講為什么里面需要轉 base64。因為經過實際測試,發現 sm2 加解密的是 bytes 類型,直接進行加密沒問題,但是單獨解密並不成功:
按住 Ctrl,再鼠標點擊 decrypt 函數,直接跳到源碼查看源碼:
發現源碼里會轉一下 hex 類型,但是報錯提示:str 對象沒有 hex 屬性。
但是如果把解密寫在加密之后(即加完密立馬解密),發現就沒問題了。
from gmssl import sm2
# sm2的公私鑰
SM2_PRIVATE_KEY = '00B9AB0B828FF68872F21A837FC303668428DEA11DCD1B24429D0C99E24EED83D5'
SM2_PUBLIC_KEY = 'B9C9A6E04E9C91F7BA880429273747D7EF5DDEB0BB2FF6317EB00BEF331A83081A6994B8993F3F5D6EADDDB81872266C87C018FB4162F5AF347B483E24620207'
sm2_crypt = sm2.CryptSM2(public_key=SM2_PUBLIC_KEY, private_key=SM2_PRIVATE_KEY)
# 加密
def encrypt(info):
encode_info = sm2_crypt.encrypt(info.encode(encoding="utf-8"))
return encode_info
# 解密
def decrypt(info):
decode_info = sm2_crypt.decrypt(info).decode(encoding="utf-8")
return decode_info
if __name__ == "__main__":
info = "123456"
encode_info = encrypt(info)
print(encode_info)
decode_info = decrypt(encode_info)
print(decode_info)
輸出:
b'\x9b\x19\xa8\xc6\xfb\x0b\xf9\xfc\xf15,E*\x9f\x12\xfd\xd6\xd3@\x82N.\x82|\xb2"Y\x86V\xce\x1d\x99\x0e\x8e\xa1\xf6\xfcP\x81x\xbf(:[\xb2UYq\xbc\x84\xe8\x93[\x01\t\xc1\xcf1(E\xcc\xf9{\xe2\x88\xbb(\x90t\xb2\xfa\xd7\xe9\r\x8b\x81\x98\xf9\x85z/\xd5;\x88U\x89Sc\xcfx\xa8\x84\xee,A\xb3\x9de\xa9\xe3\x8e\xd4'
123456
可以成功進行加解密。
但是現在需要的是通過 Go 調 Python 腳本來執行加解密,需要加解密可以分開(根據命令行傳入的參數判斷是加密還是解密),因此這個方法不行。經過查閱一些資料,才有了最開始的那段代碼,通過 base64 來編碼解碼進行加密解密。
還考慮到一個問題是:直接以加密后的二進制存數據庫,有可能會影響到 Go 那邊從數據庫讀數據。因為以二進制 bytes 存數據庫,字段采用的是 BinaryField,但是 Go 不確定有這種類型的字段,可能需要自定義。考慮到項目比較趕,馬上就要提測了,沒有時間研究 Go 怎么自定義類型了,於是選擇了換成 CharField 類型存儲到數據庫。因此就是加密后的二進制 bytes 通過 base64 編碼之后再存數據庫。解密就是從數據庫讀出數據再通過 base64 解碼,轉成二進制 bytes 進行解密。
還有一個問題就是:看到上述加密后的二進制 bytes,發現有很多反斜杠 \,但是反斜杠是有轉義功能的,比如兩個反斜杠 \\ 表示的就是一個反斜杠 \(這里可以參考 C 語言基礎語法)。考慮到存儲讀取可能也會出現這種問題,因此最終采用 base64 進行編解碼再存儲。
四、sm2 公私鑰生成代碼
from gmssl.utils import PrivateKey
priKey = PrivateKey()
pubKey = priKey.publicKey()
print(priKey.toString())
print(pubKey.toString(compressed = False))
每次生成的公私鑰都不一樣:
036e29c4ce1f17b5fd35c88e81793bc9de53f46b3766b779b297e062af958405
8d22779ef058a61365d8a427dfd4df5f661535cb515a05567436ab0bd7ff7803a9e31c90630d9221960e614a4228a0a5162bde4072ef3aa9a1ba6fe74d240577