密码加密与解密思路与方法
混合加密
基于MD5和Base64的混合加密算法,将MD5加密后的密码串作拆分和连接处理后再采用Base64加密,其破解难度相对于单独的MD5加密方式高,可以更好的保护用户的密码安全MD5(Base64)是将明文通过MD5加密后得到的密文分组成16个2位16进制的数组,通过Base64算法,将密文再做一次加密。
MD5
在线解密:http://www.cmd5.com/
必应搜索:http://cn.bing.com
OpenSSL简介
Openssl是一个自由软件,包含了SSL接口、对称加密、非对称加密及PKCS接口(包括X509证书、PKCS标准、ASN.1)等功能。到目前为止,Openssl已发展到0.95版,功能越来越丰富。
OpenSSL软件由两部分组成,分为ssleay模块和openssl模块。openssl模块是建立在ssleay模块上的一个高级应用;ssleay模块是整个Openssl软件的核心,由Eric A. Young和Tim J. Hudson用标准C语言写成,能跨平台运行,功能很齐全,涉及的范围很广,提供的接口大约有2000多个,
其中有关对称加密的算法主要有:DES、IDEA、RC2、RC4、RC5、Blowfish、CAST等;
有关非对称加密算法主要有:RSA、DH、DSA等;有关哈稀算法主要有:MD2、MD5、SHA、SHA-1、RIPEMD、MDC2等。
单从实现的这些算法来看,就足以用它们构建起各种有关数据加密的应用和PKCS接口了。更难能可贵的是,它打破了美国不允许强加密产品出口的限制,使用ssleay,完全可以替代微软所提供的用组件来加密应用的低强度加密。
通过调用ssleay接口,开发自己的应用,可以做到SSL的128位甚至更高位数的数据加密。ssleay除提供底层的加密算法外,还实现了大部分PKCS功能,如PKCS1(对RSA加密算法的描述)、PKCS3(Diffie-Hellmen密钥协商)、PKCS5(基于口令进行加密的标准)、PKCS6(扩展证书语法标准)、PKCS7(加密信息表示的语法标准)、PKCS8(私钥信息语法标准)、PKCS10(证书申请语法标准)、PKCS12(个人身份信息迁移语法标准)。
由于PKCS是一套有关使用公开密钥进行加密的标准,用以规范加密算法的处理,规范数字证书、数据封装、数字签名,以及个人私有信息保护的实现,因而单独利用ssleay,就能实现标准数字证书的申请、签发,个人信息(如证书、私钥等)的安全存放、数据加密、数据密封、数据签名。
正因为OpenSSL有这么强大的功能并且还开放源代码,所以被广泛用于各种应用,在Linux系统中尤为多见。值得一提的是,OpenSSL的license是ssleay license和openssl license的结合,属于BSD类型。按照license里面的说明,OpenSSL可以被用于各种商业、非商业的用途,当然也需遵守一些基本协议,目的是为了保护软件作品,其他人想要在ssleay或openssl的基础上进行开发,必须遵守它的license。
OpenSSL软件包含下表中的一些主要文件。文件说明libssl.a实现了SSLv2、SSLv3、TLSv1的安全功能libcrypto.a实现了加密、摘要、证书生成的功能,其中对称加密包括DES、RC4、RC2、IDEA,摘要包括MD5、MD2、SHA (SHA-0,SHA-1)、MDC2,公钥加密包括RSA、DSA、Diffie-Hellmanopenssl一个命令行实用工具,可用来生成证书对称加密原理对称加密算法是应用较早的加密算法,技术成熟。
在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。
RSA非对称加解密算法原理。
RSA密码体制描述:
(1).密钥的生成选择p,q,p,q为两个大的互异素数,计算n=p*q,j(n)=(p-1)(q-1),选择整数e使gcd(j(n),e)=1,(1<e<j(n)),计算d,使d=e-1(mod j(n)),公钥Pk={e,n};私钥Sk={d,p,q}。(定义:若a•x mod n =1,则称a与x对于模n互为逆元)
(2).加密 (用e,n)明文:M<n ,由C=Me(mod n)得到密文C。
(3).解密 (用d,p,q) 对于密文C,由M=Cd(mod n)得到明文M。
DSA的签名算法
数字签名使用强大的加密技术和公钥基础结构,以更好的保证文档的真实性、有效性和受认可性。
该流程非常安全,有些政府已经立法赋予数字签名法律效力。数字签名目前采用的多是非对称加密技术,实现原理简单的说,就是由发送方利用HASH算法对要发送的信息进行计算得到一个固定的消息摘要值,用发送者的私有密钥加密此消息的HASH值所产生的密文,即数字签名。然后将数字签名和消息一同发给接收方。接收方收到消息和数字签名后,用同样的 HASH算法对消息进行计算得到新HASH值,然后用发送者的公开密钥对数字签名解密,将解密后的结果与新HASH值相比较,若相等则说明报文确实来自发送方。
Digital Signature Algorithm (DSA)是Schnorr和ElGamal签名算法的变种,被美国NIST作为DSS(Digital Signature Standard)。
算法中应用了下述参数:p:L bits长的素数。L是64的倍数,范围是512到1024;q:p - 1的160bits的素因子;
g:g = h^((p-1)/q) mod p,h满足h < p – 1,h^((p-1)/q) mod p > 1;
x:x < q,x为私钥;y:y = g^x mod p ,( p, q, g, y )为公钥;
H( x ):One-Way Hash函数。DSS中选用SHA( Secure Hash Algorithm )。
p, q, g可由一组用户共享,但在实际应用中,使用公共模数可能会带来一定的威胁。签
名及验证协议如下:
1. P产生随机数k,k < q;
2. P计算 r = ( g^k mod p ) mod qs = ( k^(-1) (H(m) + xr)) mod q签名结果是( m, r, s )。
3. 验证时计算 w = s^(-1)mod qu1 = ( H( m ) * w ) mod qu2 = ( r * w ) mod qv = (( g^u1 * y^u2 ) mod p ) mod q若v = r,则认为签名有效。