码迷,mamicode.com
首页 > 其他好文 > 详细

7.openssl enc

时间:2016-11-22 20:41:32      阅读:440      评论:0      收藏:0      [点我收藏+]

标签:out   word   password   nes   字符   推导   独立   .com   分享   

对称加密工具。了解对称加密的原理后就很简单了。

[root@xuexi tmp]# man enc

NAME

enc - symmetric cipher routines

SYNOPSIS

openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a/-base64] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-S salt] [-salt] [-nosalt] [-z] [-md] [-p] [-P] [-bufsize number] [-nopad] [-debug] [-none] [-engine id]

enc和-ciphername:ciphername代表的是对称加密的算法名称(如base64、des),可以独立于enc直接使用openssl des,也可以enc -ciphername使用openssl enc -des。推荐在enc后使用,这样算法不依赖于硬件要求

-in filename:输入文件,不指定时默认是stdin

-out filename:输出文件,不指定时默认是stdout

-e:对输入文件加密操作,不指定时默认就是该选项

-d:对输入文件解密操作,只有显示指定该选项才是解密

-k password:加解密时指定的密码,不指定时有些加密算法需要交互输入密码

-a/-base64:在加密前和解密后进行base64编码,不指定时默认是二进制。它不是加解密的一部分,而是加解密前后对数据整理的一种格式

-salt:加密时使用salt值复杂化加密结果,不指定时默认该选项,但是使用随机salt值

-S salt:不使用随机salt值,而是指定的salt值

-p:打印加解密时salt值、key值和IV初始化向量值(也是复杂化加密的一种方式),解密时还输出解密结果

-P:和-p选项作用相同,但是打印时直接退出工具,不进行加密或解密操作

-md:摘要算法(单向加密),默认md5。该算法是拿来加密key部分的,见后面示例。

 

加密机制:根据指定的对称加密算法,对输入的密码进行单向加密(默认是md5)得到固定长度的加密密码,即对称加密的密钥,再使用对称密钥对文件进行对称加密。

解密机制:根据输入的解密密码和单向加密算法得到对称密钥,根据对称密钥解密文件。因此必须要输入正确的密码、单向加密算法和对称加密算法。

分别如下图所示:对于图中的命令看过示例部分的内容后就明白了。

技术分享技术分享

注意事项:如果加密指定了-a/-base64、对称加密算法、单向加密算法,那么解密时也要指定。解密时可以不指定salt,因为salt只参与加密的推导过程,解密时会忽略指定的salt值,因此输入任意salt都是可以的。

示例:

这是测试文件test.txt中的内容。

[root@xuexi test]# cat test.txt 

djklasdjk

使用默认算法加解密:其实并非加密,只是进行了重新编码,因此密码都不需要。

[root@xuexi test]# openssl enc -a -in test.txt -out test.1

[root@xuexi test]# cat test.1

ZGprbGFzZGprCg==    /*加密后的结果*/

[root@xuexi test]# openssl enc -a -d -in test.1

djklasdjk    /*解密后的结果和加密前结果一样*/

使用des3加密算法加密:

[root@xuexi test]# openssl enc -a -des3 -in test.txt -out test.1

enter des-ede3-cbc encryption password: /*输入的密码是123456*/

Verifying - enter des-ede3-cbc encryption password:

[root@xuexi test]# openssl enc -a -des3 -d -in test.1 -k 123456 /*指定密码*/

djklasdjk

加密解密指定密码的格式有几种,在man openssl的“PASS PHRASE ARGUMENTS”部分有。这里的-k 123456对应的是-pass pass:123456。

加密时加入一点盐吧。其实不写时默认就已经加入了,只不过是加入随机盐值。使用-S可以指定盐的值。但是盐的值只能是16进制范围内字符的组合,即"0-9a-fA-F"的任意一个或多个组合。

[root@xuexi test]# openssl enc -a -des3 -S Ffff -in test.txt -out test.1 -k 123456 

[root@xuexi test]# cat test.1

U2FsdGVkX1///wAAAAAAAJuaM/xIiTLv7s+qaaRV23M=

[root@xuexi test]# openssl enc -a -des3 -d -S Ffff -in test.1 -k 123456

djklasdjk

[root@xuexi test]# openssl enc -a -des3 -d -in test.1 -k 123456   /*解密不指定salt也一样的*/

djklasdjk

使用-p和-P看看加解密时相关的参数吧。

[root@xuexi test]# openssl enc -a -des3 -d -in test.1 -k 123456 -p

salt=FFFF000000000000

key=BFC6625C1427E898AD4E1C0A9E6E850CC0178DC631D2C253

iv =55C687D7CA5F3444

djklasdjk

其中key就是-k指定的password运算后的固定长度的值,加解密工具不会直接使用-k指定的密码进行加密,而是先将该指定密码运算得到固定长度的值,使用该值进行数据加密。因此enc伪命令还有一个“-K”选项,就是用于显示指定固定长度值的。

那么这个固定长度的值是怎么计算的呢?这就是-md选项指定的单向加密的作用了,对密码加密时还会将salt加入运算,所以不指定-S选项时因为随机salt的原因得到的key一定是不一样的。默认-md指定的是md5算法。

[root@xuexi test]# openssl enc -a -des3 -S ffff -in test.txt -k 123456 -p -md md5

salt=FFFF000000000000

key=BFC6625C1427E898AD4E1C0A9E6E850CC0178DC631D2C253

iv =55C687D7CA5F3444

U2FsdGVkX1///wAAAAAAAJuaM/xIiTLv7s+qaaRV23M=
[root@xuexi test]# openssl enc -a -des3 -S ffff -in test.txt -k 123456 -p

salt=FFFF000000000000

key=BFC6625C1427E898AD4E1C0A9E6E850CC0178DC631D2C253

iv =55C687D7CA5F3444

U2FsdGVkX1///wAAAAAAAJuaM/xIiTLv7s+qaaRV23M=

可见,salt一样,密码一样,算法一样,得到的key一样,加密的数据结果就一样。

[root@xuexi test]# openssl enc -a -des3 -S ffff -in test.txt -k 123456 -p -md sha512

salt=FFFF000000000000

key=770AAF671702ADEB8F8828A6C5EA459675426D5495CF0BC5

iv =6AE106C6E4A8C3A1

U2FsdGVkX1///wAAAAAAADZi5iLwmAjsrZpYppm3vm4=

salt一样,密码一样,算法不一样,key就不一样了,key不一样,加密的数据结果就不一样。

7.openssl enc

标签:out   word   password   nes   字符   推导   独立   .com   分享   

原文地址:http://www.cnblogs.com/f-ck-need-u/p/6090768.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!