常见的加密算法可以分成三类,对称加密算法,非对称加密算法和单向加密算法。
对称加密算法(加解密密钥相同)常见的有:DES、3DES和AES
非对称加密算法(加密密钥和解密密钥不同)常见的有:RSA
常见的Hash算法:MD5、SHA、SHA-1
另外我们常用的还有Base64编码
几种加密简介:
1、DES(Data Encryption Standard):对称算法,数据加密标准,速度较快,适用于加密大量数据的场合;
2、3DES(Triple DES):是基于DES的对称算法,对一块数据用三个不同的密钥进行三次加密,强度更高;
3、AES(Advanced Encryption Standard):高级加密标准,对称算法,是下一代的加密算法标准,速度快,安全级别高,
4、RSA:由RSA公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件块的长度也是可变的,非对称算法;
5、MD5:严格来说不算加密算法,只能说是摘要算法;是不可逆算法。
6、Base64是网络上最常见的用于传输8Bit字节代码的编码方式之一,Base64并不是安全领域的加密算法,其实Base64只能算是一个编码算法,对数据内容进行编码来适合传输。
签名:加签主要是为了防恶意攻击,防止别人模拟我们的客户端对我们的服务器进行攻击,避免服务器瘫痪。
比如A给B发送经过签名加密信息来说:
1、A对信息签名的作用是确认这个信息是A发出的,不是别人发出的;
2、加密是对内容进行机密性保护,主要是保证信息内容不会被其他人获取,只有B可以获取。
常用的签名方式有1.MD5+RSA 2.SHA+RSA
实现方式
Base64:iOS7后支持
- (NSString *)base64EncodedString {
NSData *data = [self dataUsingEncoding:NSUTF8StringEncoding];
return [data base64EncodedStringWithOptions:0];
}
- (NSString *)base64DecodedString {
NSData *data = [[NSData alloc]initWithBase64EncodedString:self options:0];
return [[NSString alloc]initWithData:data encoding:NSUTF8StringEncoding];
}
MD5
+ (NSString *)MD5ForString:(NSString *)string {
const char *input = [string UTF8String];
unsigned char result[CC_MD5_DIGEST_LENGTH];
CC_MD5(input, (CC_LONG)strlen(input), result);
NSMutableString *digest = [NSMutableString stringWithCapacity:CC_MD5_DIGEST_LENGTH * 2];
for(int i = 0; i < CC_MD5_DIGEST_LENGTH; i++) {
[digest appendFormat:@"%02x", result[I]];
}
return digest;
}
AES:AES设计有三个密钥长度:128、192、256位,特点:AES强安全性、高性能、高效率、易用和灵活。
加密实现:
+ (NSString *)AES128EncryptString:(NSString *)string key:(NSString *)key {
NSData *data = [string dataUsingEncoding:NSUTF8StringEncoding];
char keyPtr[kCCKeySizeAES128 + 1];
bzero(keyPtr, sizeof(keyPtr));
[key getCString:keyPtr maxLength:sizeof(keyPtr) encoding:NSUTF8StringEncoding];
NSUInteger dataLength = [data length];
size_t bufferSize = dataLength + kCCBlockSizeAES128;
void *buffer = malloc(bufferSize);
size_t numBytesEncrypted = 0;
CCCryptorStatus cryptStatus = CCCrypt(kCCEncrypt,
kCCAlgorithmAES128,
kCCOptionPKCS7Padding | kCCOptionECBMode,
keyPtr,
kCCBlockSizeAES128,
nil,
[data bytes],
dataLength,
buffer,
bufferSize,
&numBytesEncrypted);
if (cryptStatus == kCCSuccess) {
NSData *backData = [NSData dataWithBytesNoCopy:buffer length:numBytesEncrypted];
NSData *baseData = [backData base64EncodedDataWithOptions:0];
NSString *result = [[NSString alloc] initWithData:baseData encoding:NSUTF8StringEncoding];
return result;
}
free(buffer);
return nil;
}
解密实现:
+ (NSString *)AES128DecryptString:(NSString *)string key:(NSString *)key {
NSData *data = [[NSData alloc] initWithBase64EncodedString:string options:NSDataBase64DecodingIgnoreUnknownCharacters];
char keyPtr[kCCKeySizeAES128 + 1];
bzero(keyPtr, sizeof(keyPtr));
[key getCString:keyPtr maxLength:sizeof(keyPtr) encoding:NSUTF8StringEncoding];
NSUInteger dataLength = [data length];
size_t bufferSize = dataLength + kCCBlockSizeAES128;
void *buffer = malloc(bufferSize);
size_t numBytesDecrypted = 0;
CCCryptorStatus cryptStatus = CCCrypt(kCCDecrypt,
kCCAlgorithmAES128,
kCCOptionPKCS7Padding | kCCOptionECBMode,
keyPtr,
kCCBlockSizeAES128,
nil,
[data bytes],
dataLength,
buffer, bufferSize,
&numBytesDecrypted);
if (cryptStatus == kCCSuccess) {
NSData *backData = [NSData dataWithBytesNoCopy:buffer length:numBytesDecrypted];
NSString *result = [[NSString alloc] initWithData:backData encoding:NSUTF8StringEncoding];
return result;
}
free(buffer);
return nil;
}
DES:现在认为是一种不安全的加密算法,因为现在已经有用穷举法攻破DES密码的报道了,因此出现了3DES,比DES更安全
3DES加密实现:同样利用了CCCrypt
+ (NSString *)des3EncryptString:(NSString *)string publicKey:(NSString *)pubKey{
//把string 转NSData
NSData* data = [string dataUsingEncoding:NSUTF8StringEncoding];
//length
size_t plainTextBufferSize = [data length];
const void *vplainText = (const void *)[data bytes];
uint8_t *bufferPtr = NULL;
size_t bufferPtrSize = 0;
size_t movedBytes = 0;
bufferPtrSize = (plainTextBufferSize + kCCBlockSize3DES) & ~(kCCBlockSize3DES - 1);
bufferPtr = malloc( bufferPtrSize * sizeof(uint8_t));
memset((void *)bufferPtr, 0x0, bufferPtrSize);
const void *vkey = (const void *) [pubKey UTF8String];
//偏移量
const void *vinitVec = (const void *) [DES_IV UTF8String];
//配置CCCrypt
CCCryptorStatus ccStatus = CCCrypt(kCCEncrypt,
kCCAlgorithm3DES, //3DES
kCCOptionECBMode|kCCOptionPKCS7Padding,
vkey, //key
kCCKeySize3DES,
vinitVec,
vplainText,
plainTextBufferSize,
(void *)bufferPtr,
bufferPtrSize,
&movedBytes);
if (ccStatus == kCCSuccess) {
NSData *myData = [NSData dataWithBytes:(const void *)bufferPtr length:(NSUInteger)movedBytes];
NSData *baseData = [myData base64EncodedDataWithOptions:0];
NSString *result = [[NSString alloc] initWithData:baseData encoding:NSUTF8StringEncoding];
return result;
}
free(bufferPtr);
return nil;
}
RSA:是目前最有影响力的公钥加密算法
生成秘钥的文件格式有两种,一种是PEM格式,另一种是DER格式,在Mac OSX 里面,pem格式是不能打开的,因此我们生成PEM文件之后,需要生成DER格式和.p12文件.
首先看一下公钥、私钥生成,包括(.pem公私钥,.der公钥和.p12私钥)
进入openssl:openssl
生成1024位的私钥:
genrsa -out rsa_private_key.pem 1024
将RSA私钥转换成PKCS8格式:
pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -nocrypt
生成公钥:
rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem
生成 .der 文件:
req -new -out rsa_cert.csr -key rsa_private_key.pem
自签署根证书:
x509 -req -in rsa_cert.csr -out rsa_public_key.der -outform der -signkey rsa_private_key.pem -days 3650
生成证书rsaCert.crt,并设置有效时间为10年:
x509 -req -days 3650 -in rsa_cert.csr -signkey rsa_private_key.pem -out rsa_crt.crt
生成供iOS使用的私钥文件rsa_private_key.p12:
pkcs12 -export -out rsa_private_key.p12 -inkey rsa_private_key.pem -in rsa_crt.crt
会得到
公钥、私钥可以使用字符串的形式,也可以用文件的形式。
RSA加密:公钥放在客户端,并使用公钥对数据进行加密,服务端拿到数据后用私钥进行解密。
RSA加签:私钥放在客户端,并使用私钥对数据进行加签,服务端拿到数据后用公钥进行验签。
RSA加密实现:只需要导入Security.framework框架即可使用
实现:可用第三方RSA,
可以使用<sercurity.framework>实现RSA的加密解密,加签验签.
//加密
OSStatus SecKeyEncrypt(
SecKeyRef key,
SecPadding padding,
const uint8_t *plainText,
size_t plainTextLen,
uint8_t *cipherText,
size_t *cipherTextLen)
__OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_2_0);
//解密
OSStatus SecKeyDecrypt(
SecKeyRef key, /* Private key */
SecPadding padding, /* kSecPaddingNone,
kSecPaddingPKCS1,
kSecPaddingOAEP */
const uint8_t *cipherText,
size_t cipherTextLen, /* length of cipherText */
uint8_t *plainText,
size_t *plainTextLen) /* IN/OUT */
__OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_2_0);
//加签
OSStatus SecKeyRawSign(
SecKeyRef key,
SecPadding padding,
const uint8_t *dataToSign,
size_t dataToSignLen,
uint8_t *sig,
size_t *sigLen)
__OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_2_0);
//验签
OSStatus SecKeyRawVerify(
SecKeyRef key,
SecPadding padding,
const uint8_t *signedData,
size_t signedDataLen,
const uint8_t *sig,
size_t sigLen)
__OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_2_0);
但是这个framework的api只支持从标准证书文件(cer,p12)中读取公钥。有时java后台给我们的公钥或私钥是一个pem格式的文件或一段字符,其中保存的公钥信息是base64加密的字符串,这个用sercurity就不能读取了啊.
但是在RSA可以用addPrivateKey将私钥转为SecKeyRef使用.另外我们也可以使用openssl的api来实现此类的加解密或者加签验签.另外MD5加签在iOS5后已经废弃.但是openssl中还可以使用.
如果是读取.der公钥或.p12私钥文件可用SecTrustCopyPublicKey和SecIdentityCopyPrivateKey具体实现可见demo
参考文章:iOS常用的加密模式
iOS之RSA加密解密与后台之间的双向加密详解
iOS中使用RSA加密与解密
RSA加密
iOS openssl库导入与RSA加密与签名
iOS RSA加解密签名和验证
根据秘钥生成.p12文件
