openssl 加密解密原理小结

公司一个项目要进行交易数据传输,由于这个项目银行那边也是刚刚开始启动,全部的支持只有一个传输字段的说明文档,好吧,总的有人作事不是嘛,因而接口开发正式展开,第一步的难点就是加密解密,我选择使用OpenSSL.

OpenSSL初接触的人恐怕最难的在于先理解各类概念

　　公钥/私钥/签名/验证签名/加密/解密/非对称加密

　　咱们通常的加密是用一个密码加密文件,而后解密也用一样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另一组密码,这个叫非对称加密,意思就是加密解密的密码不同.初次接触的人恐怕不管如何都理解不了.其实这是数学上的一个素数积求因子的原理的应用,若是你必定要搞懂,百度有大把大把的资料能够看,其结果就是用这一组密钥中的一个来加密数据,能够用另外一个解开.是的没错,公钥和私钥均可以用来加密数据,相反用另外一个解开,公钥加密数据,而后私钥解密的状况被称为加密解密,私钥加密数据,公钥解密通常被称为签名和验证签名.

　　由于公钥加密的数据只有它相对应的私钥能够解开,因此你能够把公钥给人和人,让他加密他想要传送给你的数据,这个数据只有到了有私钥的你这里,才能够解开成有用的数据,其余人就是获得了,也看懂内容.同理,若是你用你的私钥对数据进行签名,那这个数据就只有配对的公钥能够解开,有这个私钥的只有你,因此若是配对的公钥解开了数据,就说明这数据是你发的,相反,则不是.这个被称为签名.

　　实际应用中,通常都是和对方交换公钥,而后你要发给对方的数据,用他的公钥加密,他获得后用他的私钥解密,他要发给你的数据,用你的公钥加密,你获得后用你的私钥解密,这样最大程度保证了安全性.

　　RSA/DSA/SHA/MD5

　　非对称加密的算法有不少,比较著名的有RSA/DSA ,不一样的是RSA能够用于加/解密,也能够用于签名验签,DSA则只能用于签名.至于SHA则是一种和md5相同的算法,它不是用于加密解密或者签名的,它被称为摘要算法.就是经过一种算法,依据数据内容生成一种固定长度的摘要,这串摘要值与原数据存在对应关系,就是原数据会生成这个摘要,可是,这个摘要是不能还原成原数据的,嗯....,正常状况下是这样的,这个算法起的做用就是,若是你把原数据修改一点点,那么生成的摘要都会不一样,传输过程当中把原数据给你再给你一个摘要,你把获得的原数据一样作一次摘要算法,与给你的摘要相比较就能够知道这个数据有没有在传输过程当中被修改了.

　　实际应用过程当中,由于须要加密的数据可能会很大,进行加密费时费力,因此通常都会把原数据先进行摘要,而后对这个摘要值进行加密,将原数据的明文和加密后的摘要值一块儿传给你.这样你解开加密后的摘要值,再和你获得的数据进行的摘要值对应一下就能够知道数据有没有被修改了,并且,由于私钥只有你有,只有你能解密摘要值,因此别人就算把原数据作了修改,而后生成一个假的摘要给你也是不行的,你这边用密钥也根本解不开.

　　　CA/PEM/DER/X509/PKCS

　　通常的公钥不会用明文传输给别人的,正常状况下都会生成一个文件,这个文件就是公钥文件,而后这个文件能够交给其余人用于加密,可是传输过程当中若是有人恶意破坏,将你的公钥换成了他的公钥,而后获得公钥的一方加密数据,不是他就能够用他本身的密钥解密看到数据了吗,为了解决这个问题,须要一个公证方来作这个事,任何人均可以找它来确认公钥是谁发的.这就是CA,CA确认公钥的原理也很简单,它将它本身的公钥发布给全部人,而后一个想要发布本身公钥的人能够将本身的公钥和一些身份信息发给CA,CA用本身的密钥进行加密,这里也能够称为签名.而后这个包含了你的公钥和你的信息的文件就能够称为证书文件了.这样一来全部获得一些公钥文件的人,经过CA的公钥解密了文件,若是正常解密那么机密后里面的信息必定是真的,由于加密方只多是CA,其余人没它的密钥啊.这样你解开公钥文件,看看里面的信息就知道这个是否是那个你须要用来加密的公钥了.

　　实际应用中,通常人都不会找CA去签名,由于那是收钱的,因此能够本身作一个自签名的证书文件,就是本身生成一对密钥,而后再用本身生成的另一对密钥对这对密钥进行签名,这个只用于真正须要签名证书的人,普通的加密解密数据,直接用公钥和私钥来作就能够了.

　　密钥文件的格式用OpenSSL生成的就只有PEM和DER两种格式,PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母,DER格式是二进制的密钥文件,直接打开,你能够看到........你什么也看不懂!.X509是通用的证书文件格式定义.pkcs的一系列标准是指定的存放密钥的文件标准,你只要知道PEM DER X509 PKCS这几种格式是能够互相转化的.

OpenSSL使用

　　PHP的OpenSSL模块要加载上很容易,百度一下,按着作就能够,可是这里面其实有不少问题,首先一点就是windows环境的问题,OpenSSL开发是以linux环境为基础的,如今开发者的windows下lamp集成环境会出现不少错误,若是你去OpenSSL官网能够看到它提供了专门的windows环境OpenSSL安装包.遗憾的是,没有提供给你PHP调用的解决办法,因此转了一圈咱们又回到PHP自带的php_openssl.dll下了,你会发如今生成证书,提取公钥等等地方都会出现错误.个人解决办法是,在Apache的bin目录下用命令行来生成各类证书密钥,在PHP中只须要提取密钥作验证工做或者加密工做就能够了,密钥你只生成一次嘛,那个项目也不会须要你不停的变密钥对是吧.可是你要注意的是即便在Apache下使用命令行,你也须要一个特殊的openssl.cnf,这个能够用于windows环境,你能够百度一下,作了这些工做之后,你能够跟着我来生成各类密钥了,假设你在apache/bin目录下,所须要的exr,cnf,dll文件都拷贝到这个目录下了,而后你打开dos命令行,进入这个目录,作如下工做: