PHP 使用非对称加密算法(RSA)
加密的类型:
在日常设计及开发中,为确保数据传输和数据存储的安全,可通过特定的算法,将数据明文加密成复杂的密文。目前主流加密手段大致可分为单向加密和双向加密。
单向加密:通过对数据进行摘要计算生成密文,密文不可逆推还原。算法代表:Base64,MD5,SHA;
双向加密:与单向加密相反,可以把密文逆推还原成明文,双向加密又分为对称加密和非对称加密。
对称加密:指数据使用者必须拥有相同的密钥才可以进行加密解密,就像彼此约定的一串暗号。算法代表:DES,3DES,AES,IDEA,RC4,RC5;
非对称加密:相对对称加密而言,无需拥有同一组密钥,非对称加密是一种“信息公开的密钥交换协议”。非对称加密需要公开密钥和私有密钥两组密钥,公开密钥和私有密钥是配对起来的,
也就是说使用公开密钥进行数据加密,只有对应的私有密钥才能解密。这两个密钥是数学相关,用某用户密钥加密后的密文,只能使用该用户的加密密钥才能解密。如果知道了其中一个,并
不能计算出另外一个。因此如果公开了一对密钥中的一个,并不会危害到另外一个密钥性质。这里把公开的密钥为公钥,不公开的密钥为私钥。算法代表:RSA,DSA。
以前一直对客户端传给服务器的信息加密这一块一脸懵,如果app里面的用户登录信息被抓包拿到了,大写着 username:root,password:123456, 那不是很尴尬。
偶然做版权输入的时候遇到了rsa,在支付宝支付的时候也接触过,当时不知道这是啥子,现在才知道。
他能保证,客户端给出的信息,只有拥有私钥的服务器才能看,其他人看的都是乱码,嘿嘿。
非对称加密算法
需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。
公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;
如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
注意以上的一个点,公钥加密的数据,只有对应的私钥才能解密
将私钥private_key.pem用在服务器端,公钥发放给android跟ios等前端
客户端用公钥加密过后,数据只能被拥有唯一私钥的服务器看懂。
具体实现:
1、加密解密的第一步是生成公钥、私钥对,私钥加密的内容能通过公钥解密(反过来亦可以)
1 下载开源RSA密钥生成工具openssl(通常Linux系统都自带该程序),解压缩至独立的文件夹,进入其中的bin目录,执行以下命令: 2 a、openssl genrsa -out rsa_private_key.pem 1024 3 b、openssl pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -nocrypt -out private_key.pem 4 c、openssl rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem 5 6 第一条命令生成原始 RSA私钥文件 rsa_private_key.pem 7 第二条命令将原始 RSA私钥转换为 pkcs8格式 8 第三条生成RSA公钥 rsa_public_key.pem 9 10 上面几个就可以看出:通过私钥能生成对应的公钥
也有一些网站提供生成rsa公钥私钥的服务:http://www.bm8.com.cn/webtool/rsa/
2、PHP的加密解密类库:
RSA.class.php
<?php /** * RSA算法类 * 签名及密文编码:base64字符串/十六进制字符串/二进制字符串流 * 填充方式: PKCS1Padding(加解密)/NOPadding(解密) * * Notice:Only accepts a single block. Block size is equal to the RSA key size! * 如密钥长度为1024 bit,则加密时数据需小于128字节,加上PKCS1Padding本身的11字节信息,所以明文需小于117字节 */ class RSA { private $pubKey = null; private $priKey = null; /** * 构造函数 */ public function __construct() { // 需要开启openssl扩展 if (!extension_loaded("openssl")) { $this->_error("Please open the openssl extension first."); } } /** * 读取公钥和私钥 * @param string $public_key_file 公钥文件(验签和加密时传入) * @param string $private_key_file 私钥文件(签名和解密时传入) */ public function init($public_key_file = '', $private_key_file = '') { if ($public_key_file) { $this->_getPublicKey($public_key_file); } if ($private_key_file) { $this->_getPrivateKey($private_key_file); } } /** * 自定义错误处理 */ private function _error($msg) { die('RSA Error:' . $msg); //TODO } /** * 检测填充类型 * 加密只支持PKCS1_PADDING * 解密支持PKCS1_PADDING和NO_PADDING * * @param int 填充模式 * @param string 加密en/解密de * @return bool */ private function _checkPadding($padding, $type) { if ($type == 'en') { switch ($padding) { case OPENSSL_PKCS1_PADDING: $ret = true; break; default: $ret = false; } } else { switch ($padding) { case OPENSSL_PKCS1_PADDING: case OPENSSL_NO_PADDING: $ret = true; break; default: $ret = false; } } return $ret; } private function _encode($data, $code) { switch (strtolower($code)) { case 'base64': $data = base64_encode('' . $data); break; case 'hex': $data = bin2hex($data); break; case 'bin': default: } return $data; } private function _decode($data, $code) { switch (strtolower($code)) { case 'base64': $data = base64_decode($data); break; case 'hex': $data = $this->_hex2bin($data); break; case 'bin': default: } return $data; } private function _getPublicKey($file) { $key_content = $this->_readFile($file); if ($key_content) { $this->pubKey = openssl_get_publickey($key_content); } } private function _getPrivateKey($file) { $key_content = $this->_readFile($file); if ($key_content) { $this->priKey = openssl_get_privatekey($key_content); } } private function _readFile($file) { $ret = false; if (!file_exists($file)) { $this->_error("The file {$file} is not exists"); } else { $ret = file_get_contents($file); } return $ret; } private function _hex2bin($hex = false) { $ret = $hex !== false && preg_match('/^[0-9a-fA-F]+$/i', $hex) ? pack("H*", $hex) : false; return $ret; } /** * 生成Rsa公钥和私钥 * @param int $private_key_bits 建议:[512, 1024, 2048, 4096] * @return array */ public function generate(int $private_key_bits = 1024) { $rsa = [ "private_key" => "", "public_key" => "" ]; $config = [
"config" => "C:/Program Files (x86)/php-7.4.29-Win32-vc15-x64/extras/ssl/openssl.cnf", "digest_alg" => "sha512", "private_key_bits" => $private_key_bits, #此处必须为int类型 "private_key_type" => OPENSSL_KEYTYPE_RSA, ]; //创建公钥和私钥 $res = openssl_pkey_new($config); //提取私钥 $z = openssl_pkey_export($res, $rsa['private_key'], null, $config); var_dump($z); var_dump($rsa['private_key']); //生成公钥 $rsa['public_key'] = openssl_pkey_get_details($res)["key"]; /*Array ( [bits] => 512 [key] => [rsa] => [type] => 0 )*/ return $rsa; } /** * 生成签名 * * @param string 签名材料 * @param string 签名编码(base64/hex/bin) * @return bool|string 签名值 */ public function sign($data, $code = 'base64') { $ret = false; if (openssl_sign($data, $ret, $this->priKey)) { $ret = $this->_encode($ret, $code); } return $ret; } /** * 验证签名 * * @param string 签名材料 * @param string 签名值 * @param string 签名编码(base64/hex/bin) * @return bool */ public function verify($data, $sign, $code = 'base64') { $ret = false; $sign = $this->_decode($sign, $code); if ($sign !== false) { switch (openssl_verify($data, $sign, $this->pubKey)) { case 1: $ret = true; break; case 0: case -1: default: $ret = false; } } return $ret; } /** * 加密 * * @param string 明文 * @param string 密文编码(base64/hex/bin) * @param int 填充方式(貌似php有bug,所以目前仅支持OPENSSL_PKCS1_PADDING) * @return string 密文 */ public function encrypt($data, $code = 'base64', $padding = OPENSSL_PKCS1_PADDING) { $ret = false; if (!$this->_checkPadding($padding, 'en')) $this->_error('padding error'); if (openssl_public_encrypt($data, $result, $this->pubKey, $padding)) { $ret = $this->_encode($result, $code); } return $ret; } /** * 解密 * * @param string 密文 * @param string 密文编码(base64/hex/bin) * @param int 填充方式(OPENSSL_PKCS1_PADDING / OPENSSL_NO_PADDING) * @param bool 是否翻转明文(When passing Microsoft CryptoAPI-generated RSA cyphertext, revert the bytes in the block) * @return string 明文 */ public function decrypt($data, $code = 'base64', $padding = OPENSSL_PKCS1_PADDING, $rev = false) { $ret = false; $data = $this->_decode($data, $code); if (!$this->_checkPadding($padding, 'de')) $this->_error('padding error'); if ($data !== false) { if (openssl_private_decrypt($data, $result, $this->priKey, $padding)) { $ret = $rev ? rtrim(strrev($result), "\0") : '' . $result; } } return $ret; } }
应用
<?php if (!class_exists("RSA")) { require_once "Rsa.class.php"; } $private_key_file = __DIR__ . "/private_key.pem"; $public_key_file = __DIR__ . "/public_key.pem"; $rsa = new RSA(); // 没有就生成一对 $key = $rsa->generate(); file_put_contents($private_key_file, $key['private_key'], LOCK_EX); file_put_contents($public_key_file, $key['public_key'], LOCK_EX); $key = [ "private_key" => file_get_contents($private_key_file), "public_key" => file_get_contents($public_key_file) ]; //显示数据 echo "private_key:\n" . $key['private_key'] . "\n\r"; echo "public_key:\n" . $key['public_key'] . "\n\r"; //要加密的数据 $data = "Web site:http://blog.kilvn.com"; echo '加密的数据:' . $data, "\n-------------------------------\n"; $rsa->init($public_key_file, $private_key_file); //加密 $encrypt = $rsa->encrypt($data); echo "公钥加密后的数据: " . $encrypt . "\n"; //解密 $decrypt = $rsa->decrypt($encrypt); echo "私钥解密后的数据: " . $decrypt, "\n-------------------------------\n"; //签名 $sign = $rsa->sign($data); echo "签名的数据: " . $sign . "\n"; //验证 $verify = $rsa->verify($data, $sign); echo "验证的数据: " . $verify . "\n", "\n-------------------------------\n";
RSA加密支持分块
http://t.zoukankan.com/meetuj-p-14954533.html
<?php function superLongPublicKeyEncrypt($content, $rsaPublicKey, $choicePath = true, $withBase64 = false) { if ($choicePath) { $pubKeyId = openssl_pkey_get_public($rsaPublicKey);//绝对路径读取 } else { $pubKeyId = $rsaPublicKey;//公钥 } $RSA_ENCRYPT_BLOCK_SIZE = 117; $result = ''; $data = str_split($content, $RSA_ENCRYPT_BLOCK_SIZE); foreach ($data as $block) { openssl_public_encrypt($block, $dataEncrypt, $pubKeyId, OPENSSL_PKCS1_PADDING); $result .= $dataEncrypt; } if ($withBase64) { return base64_encode($result); } else { return $result; } } function superLongPrivateKeyDecrypt($content, $rsaPrivateKey, $choicePath = true, $withBase64 = false) { if ($choicePath) { $priKeyId = openssl_pkey_get_private($rsaPrivateKey);//绝对路径 } else { $priKeyId = $rsaPrivateKey;//私钥 } if ($withBase64) { $data = base64_decode($content); } $RSA_DECRYPT_BLOCK_SIZE = 128; $result = ''; $data = str_split($data, $RSA_DECRYPT_BLOCK_SIZE); foreach ($data as $block) { openssl_private_decrypt($block, $dataDecrypt, $priKeyId, OPENSSL_PKCS1_PADDING); $result .= $dataDecrypt; } if ($result) { return $result; } else { return false; } } $private_key = "-----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQDvluFNiF8IrIsddK0OXBAvVBJH11OKvy9er1tRGn9yEJoHCJY3 EU/xz2LasCK8AwgRIqGJbvDBgRa70c3QT9j+wPqNqqJCSoSEKifnDUk1RgUReJT6 iqWaJyfM+WM3aHnKl61RZL4NV5qKe4CHMtaH/JtBCC/JzpuFER1P1IhCtQIDAQAB AoGAaFYQb68/k4twWbeB1YsKEVJPU7HV08pGWrmKztr3PTk1mnKG2BxV8DwcFJg3 yCCZ1rx6FFuXxOzudYR8WIctO4wdsEbFky/cEGsfc6JJjiktmZaQ7MvobGNwnoFJ QvRxDd+5uD87JE19iBSgUpLVtXbv+pZxSpD70vitnMdSctECQQD66Z5HsuC8DUPu OLQHNN4ra5Op179Xlq7LiEFW4GaVgonw24kiLX23c7CK7295Rgxct1fwQKyuU9br n2uj8toDAkEA9HJ85BWlm2OfUm6VI3Q99rjlpCnhRyz70+sEtf7if1SpctVxNTkX UOnXlpPTohjAHNhzh9fa1hh/ySH9sRMu5wJAa//8uh3br/YBxFsx2lw+OPBQGe4c lSXtzPu0LCHg5f/PQhYs28I696jbV6IiGFA3Z/0e4/HiohLCUp9HJMWWYwJACE53 pfyCUyRwfomZccn6bQ7dZtWxfQyvRgU/dLvDkJYc5/UO0sMs4qf/lnNRhrmWlaRZ UK1qF0pf1ULdbw360wJBAObrYopW2kvIlE09j9SEgNtgVsmfZlf85c4EAZrFJP/T 8nMNKQGo92Gd3HvbjJ+ZBOP1IFt+FDAsXeSLWLAwJrg= -----END RSA PRIVATE KEY-----"; $public_key = "-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDvluFNiF8IrIsddK0OXBAvVBJH 11OKvy9er1tRGn9yEJoHCJY3EU/xz2LasCK8AwgRIqGJbvDBgRa70c3QT9j+wPqN qqJCSoSEKifnDUk1RgUReJT6iqWaJyfM+WM3aHnKl61RZL4NV5qKe4CHMtaH/JtB CC/JzpuFER1P1IhCtQIDAQAB -----END PUBLIC KEY----- "; $content = "hello world"; $res = superLongPublicKeyEncrypt($content,$public_key,false,true); var_dump($res); $res = superLongPrivateKeyDecrypt($res,$private_key,false,true); var_dump($res);
I can see a bigger world.
