asymmetric cryptography

发表于

公钥密码学,也称为非对称密码学,是使用相关密钥对的密码系统领域。每个密钥对由公钥和相应的私钥组成。密钥对是通过基于数学问题的单向函数的加密算法生成的。公钥密码学的安全性取决于保持私钥的机密性;公钥可以公开分发而不会危及安全性。

密钥对的生成

非对称密钥对生成通常使用一个不可预测的(大且随机的)数字并通过非对称密钥算法来生成密钥对。

image

可以通过openssl生成相应的证书,具体命令可参考

公钥加密

公钥加密是使用公钥对消息进行加密,使用公钥进行加密的信息只能通过对应的密钥才能进行解密。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
package main

import (
	"crypto/rand"
	"crypto/rsa"
	"crypto/x509"
	"encoding/pem"
	"fmt"
	"io/ioutil"
	"os"
)

func main() {
	// 读取公钥
	pubPEMData, err := ioutil.ReadFile("server.crt")
	if err != nil {
		fmt.Println(err)
		os.Exit(1)
	}

	block, _ := pem.Decode(pubPEMData)
	if block == nil {
		fmt.Println("failed to parse certificate PEM")
		os.Exit(1)
	}

	pub, err := x509.ParseCertificate(block.Bytes)
	if err != nil {
		fmt.Println("failed to parse certificate: " + err.Error())
		os.Exit(1)
	}

	rsaPub, ok := pub.PublicKey.(*rsa.PublicKey)
	if !ok {
		fmt.Println("not RSA public key")
		os.Exit(1)
	}

	// 读取私钥
	privPEMData, err := ioutil.ReadFile("server.key")
	if err != nil {
		fmt.Println(err)
		os.Exit(1)
	}

	block, _ = pem.Decode(privPEMData)
	if block == nil {
		fmt.Println("failed to parse key PEM")
		os.Exit(1)
	}

	priv, err := x509.ParsePKCS8PrivateKey(block.Bytes)
	if err != nil {
		fmt.Println("failed to parse key: " + err.Error())
		os.Exit(1)
	}

	// 加密字符串
	message := []byte("Hello, World!")
	encryptedMessage, err := rsa.EncryptPKCS1v15(rand.Reader, rsaPub, message)
	if err != nil {
		fmt.Println(err)
		os.Exit(1)
	}

	// 解密字符串
	decryptedMessage, err := rsa.DecryptPKCS1v15(rand.Reader, priv.(*rsa.PrivateKey), encryptedMessage)
	if err != nil {
		fmt.Println(err)
		os.Exit(1)
	}

	fmt.Println(string(decryptedMessage))
}

image

数字签名

数字签名是一种使用发送者的私钥对消息进行签名的方法,并可以由任何拥有发送者公钥访问权限的人进行验证。
该验证证明发送者有私钥的访问权限。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
package main

import (
	"crypto"
	"crypto/rand"
	"crypto/rsa"
	"crypto/sha256"
	"crypto/x509"
	"encoding/pem"
	"fmt"
	"io/ioutil"
	"os"
)

func main() {
	message := "Hello, world!"
	// 读取私钥
	privPEMData, err := ioutil.ReadFile("server.key")
	if err != nil {
		fmt.Println(err)
		os.Exit(1)
	}

	block, _ := pem.Decode(privPEMData)
	if block == nil {
		fmt.Println("failed to parse key PEM")
		os.Exit(1)
	}

	priv, err := x509.ParsePKCS8PrivateKey(block.Bytes)
	if err != nil {
		fmt.Println("failed to parse key: " + err.Error())
		os.Exit(1)
	}

    // 对消息进行hash
	hash := sha256.Sum256([]byte(message))
    // 通过密钥对hash进行签名
	signature, err := rsa.SignPKCS1v15(rand.Reader, priv.(*rsa.PrivateKey), crypto.SHA256, hash[:])
	if err != nil {
		fmt.Println("failed to sign message: " + err.Error())
		os.Exit(1)
	}

	// 读取公钥
	pubPEMData, err := ioutil.ReadFile("server.crt")
	if err != nil {
		fmt.Println(err)
		os.Exit(1)
	}

	block, _ = pem.Decode(pubPEMData)
	if block == nil {
		fmt.Println("failed to parse certificate PEM")
		os.Exit(1)
	}

	pub, err := x509.ParseCertificate(block.Bytes)
	if err != nil {
		fmt.Println("failed to parse certificate: " + err.Error())
		os.Exit(1)
	}

	rsaPub, ok := pub.PublicKey.(*rsa.PublicKey)
	if !ok {
		fmt.Println("not RSA public key")
		os.Exit(1)
	}
    // 将签名和hash传给验证者,通过公钥进行验证
	err = rsa.VerifyPKCS1v15(rsaPub, crypto.SHA256, hash[:], signature)
    // 如果未出错表明得到了验证
	if err != nil {
		fmt.Println("failed to verify signature: " + err.Error())
		os.Exit(1)
	} else {
		fmt.Println("signature verified")
	}
}

Alice使用自己的密钥对sha256算法hash后的HelloBob!进行签名,然后Bob使用Alice的公钥对签名进行验证。

image

REF:

  1. https://en.wikipedia.org/wiki/Public-key_cryptography
  2. https://www.ncbi.nlm.nih.gov/pmc/articles/PMC5551094/