openssl 加密解密原理小結

公司一個項目要進行交易數據傳輸,由於這個項目銀行那邊也是剛剛開始啓動,全部的支持只有一個傳輸字段的說明文檔,好吧,總的有人作事不是嘛,因而接口開發正式展開,第一步的難點就是加密解密,我選擇使用OpenSSL.

OpenSSL初接觸的人恐怕最難的在於先理解各類概念

　　公鑰/私鑰/簽名/驗證簽名/加密/解密/非對稱加密

　　咱們通常的加密是用一個密碼加密文件,而後解密也用一樣的密碼.這很好理解,這個是對稱加密.而有些加密時,加密用的一個密碼,而解密用另一組密碼,這個叫非對稱加密,意思就是加密解密的密碼不同.初次接觸的人恐怕不管如何都理解不了.其實這是數學上的一個素數積求因子的原理的應用,若是你必定要搞懂,百度有大把大把的資料能夠看,其結果就是用這一組密鑰中的一個來加密數據,能夠用另外一個解開.是的沒錯,公鑰和私鑰均可以用來加密數據,相反用另外一個解開,公鑰加密數據,而後私鑰解密的狀況被稱爲加密解密,私鑰加密數據,公鑰解密通常被稱爲簽名和驗證簽名.

　　由於公鑰加密的數據只有它相對應的私鑰能夠解開,因此你能夠把公鑰給人和人,讓他加密他想要傳送給你的數據,這個數據只有到了有私鑰的你這裏,才能夠解開成有用的數據,其餘人就是獲得了,也看懂內容.同理,若是你用你的私鑰對數據進行簽名,那這個數據就只有配對的公鑰能夠解開,有這個私鑰的只有你,因此若是配對的公鑰解開了數據,就說明這數據是你發的,相反,則不是.這個被稱爲簽名.

　　實際應用中,通常都是和對方交換公鑰,而後你要發給對方的數據,用他的公鑰加密,他獲得後用他的私鑰解密,他要發給你的數據,用你的公鑰加密,你獲得後用你的私鑰解密,這樣最大程度保證了安全性.

　　RSA/DSA/SHA/MD5

　　非對稱加密的算法有不少,比較著名的有RSA/DSA ,不一樣的是RSA能夠用於加/解密,也能夠用於簽名驗籤,DSA則只能用於簽名.至於SHA則是一種和md5相同的算法,它不是用於加密解密或者簽名的,它被稱爲摘要算法.就是經過一種算法,依據數據內容生成一種固定長度的摘要,這串摘要值與原數據存在對應關係,就是原數據會生成這個摘要,可是,這個摘要是不能還原成原數據的,嗯....,正常狀況下是這樣的,這個算法起的做用就是,若是你把原數據修改一點點,那麼生成的摘要都會不一樣,傳輸過程當中把原數據給你再給你一個摘要,你把獲得的原數據一樣作一次摘要算法,與給你的摘要相比較就能夠知道這個數據有沒有在傳輸過程當中被修改了.

　　實際應用過程當中,由於須要加密的數據可能會很大,進行加密費時費力,因此通常都會把原數據先進行摘要,而後對這個摘要值進行加密,將原數據的明文和加密後的摘要值一塊兒傳給你.這樣你解開加密後的摘要值,再和你獲得的數據進行的摘要值對應一下就能夠知道數據有沒有被修改了,並且,由於私鑰只有你有,只有你能解密摘要值,因此別人就算把原數據作了修改,而後生成一個假的摘要給你也是不行的,你這邊用密鑰也根本解不開.

　　　CA/PEM/DER/X509/PKCS

　　通常的公鑰不會用明文傳輸給別人的,正常狀況下都會生成一個文件,這個文件就是公鑰文件,而後這個文件能夠交給其餘人用於加密,可是傳輸過程當中若是有人惡意破壞,將你的公鑰換成了他的公鑰,而後獲得公鑰的一方加密數據,不是他就能夠用他本身的密鑰解密看到數據了嗎,爲了解決這個問題,須要一個公證方來作這個事,任何人均可以找它來確認公鑰是誰發的.這就是CA,CA確認公鑰的原理也很簡單,它將它本身的公鑰發佈給全部人,而後一個想要發佈本身公鑰的人能夠將本身的公鑰和一些身份信息發給CA,CA用本身的密鑰進行加密,這裏也能夠稱爲簽名.而後這個包含了你的公鑰和你的信息的文件就能夠稱爲證書文件了.這樣一來全部獲得一些公鑰文件的人,經過CA的公鑰解密了文件,若是正常解密那麼機密后里面的信息必定是真的,由於加密方只多是CA,其餘人沒它的密鑰啊.這樣你解開公鑰文件,看看裏面的信息就知道這個是否是那個你須要用來加密的公鑰了.

　　實際應用中,通常人都不會找CA去簽名,由於那是收錢的,因此能夠本身作一個自簽名的證書文件,就是本身生成一對密鑰,而後再用本身生成的另一對密鑰對這對密鑰進行簽名,這個只用於真正須要簽名證書的人,普通的加密解密數據,直接用公鑰和私鑰來作就能夠了.

　　密鑰文件的格式用OpenSSL生成的就只有PEM和DER兩種格式,PEM的是將密鑰用base64編碼表示出來的,直接打開你能看到一串的英文字母,DER格式是二進制的密鑰文件,直接打開,你能夠看到........你什麼也看不懂!.X509是通用的證書文件格式定義.pkcs的一系列標準是指定的存放密鑰的文件標準,你只要知道PEM DER X509 PKCS這幾種格式是能夠互相轉化的.

OpenSSL使用

　　PHP的OpenSSL模塊要加載上很容易,百度一下,按着作就能夠,可是這裏面其實有不少問題,首先一點就是windows環境的問題,OpenSSL開發是以linux環境爲基礎的,如今開發者的windows下lamp集成環境會出現不少錯誤,若是你去OpenSSL官網能夠看到它提供了專門的windows環境OpenSSL安裝包.遺憾的是,沒有提供給你PHP調用的解決辦法,因此轉了一圈咱們又回到PHP自帶的php_openssl.dll下了,你會發如今生成證書,提取公鑰等等地方都會出現錯誤.個人解決辦法是,在Apache的bin目錄下用命令行來生成各類證書密鑰,在PHP中只須要提取密鑰作驗證工做或者加密工做就能夠了,密鑰你只生成一次嘛,那個項目也不會須要你不停的變密鑰對是吧.可是你要注意的是即便在Apache下使用命令行,你也須要一個特殊的openssl.cnf,這個能夠用於windows環境,你能夠百度一下,作了這些工做之後,你能夠跟着我來生成各類密鑰了,假設你在apache/bin目錄下,所須要的exr,cnf,dll文件都拷貝到這個目錄下了,而後你打開dos命令行,進入這個目錄,作如下工做: