在日常系統(tǒng)管理工作中����,需要作一些加解密的工作,通過openssl工具包就能完成我們很多需求����!
1. openssl RSA 加解密
RSA是基于數(shù)論中大素?cái)?shù)的乘積難分解理論上的非對(duì)稱加密法,使用公私鑰的方法進(jìn)行加解密
公鑰 用于加密,它是向所有人公開的 ; 私鑰用于解密����,只有密文的接收者持有
生成一個(gè)密鑰(私鑰)
[root@hunterfu ~]# openssl genrsa -out private.key 1024
注意: 需要注意的是這個(gè)文件包含了公鑰和密鑰兩部分,也就是說這個(gè)文件即可用來加密也可以用來解密,后面的1024是生成密鑰的長度.
通過密鑰文件private.key 提取公鑰
[root@hunterfu ~]# openssl rsa -in private.key -pubout -out pub.key
使用公鑰加密信息
[root@hunterfu ~]# echo -n "123456" | openssl rsautl -encrypt -inkey pub.key -pubin >encode.result
使用私鑰解密信息
[root@hunterfu ~]#cat encode.result | openssl rsautl -decrypt -inkey private.key
123456
至此�,一次RSA加密解密的過程已經(jīng)完成!
2. openssl DSA簽名與驗(yàn)證
和RSA加密解密過程相反����,在DSA數(shù)字簽名和認(rèn)證中,發(fā)送者使用自己的私鑰對(duì)文件或消息進(jìn)行簽名�����,接受者收到消息后使用發(fā)送者的公鑰來驗(yàn)證簽名的真實(shí)性
DSA只是一種算法��,和RSA不同之處在于它不能用作加密和解密�,也不能進(jìn)行密鑰交換,只用于簽名,它比RSA要快很多.
生成一個(gè)密鑰(私鑰)
[root@hunterfu ~]# openssl dsaparam -out dsaparam.pem 1024
[root@hunterfu ~]# openssl gendsa -out privkey.pem dsaparam.pem
生成公鑰
[root@hunterfu ~]# openssl dsa -in privkey.pem -out pubkey.pem -pubout
[root@hunterfu ~]# rm -fr dsaparam.pem
使用私鑰簽名
[root@hunterfu ~]# echo -n "123456" | openssl dgst -dss1 -sign privkey.pem > sign.result
使用公鑰驗(yàn)證
[root@hunterfu ~]# echo -n "123456" | openssl dgst -dss1 -verify pubkey.pem -signature sign.result
Verified OK
至此���,一次DSA簽名與驗(yàn)證過程完成���!
3. 總結(jié)及注意事項(xiàng)
注意: 由于信息經(jīng)過加密或者簽名后�����,都變成不可讀模式,為了方便終端查看和傳輸使用(url提交數(shù)據(jù),需要作urlencode操作)���,可以使用base64進(jìn)行編碼
openssl enc -base64 -A :將加密后的信息使用base64編碼
openssl enc -d -base64 -A : 將信息使用base64反編碼
java中此私鑰需要轉(zhuǎn)換下格式才能使用:
[root@hunterfu ~]# openssl pkcs8 -topk8 -nocrypt -in private.key -outform PEM -out java_private.key
當(dāng)然openssl 是一個(gè)很實(shí)用的加密工具包,還有很多東西值得學(xué)習(xí)和總結(jié)�,以后有空再說!
