密碼學(xué)俱樂部的第一條規(guī)則是:永遠(yuǎn)不要自己發(fā)明密碼系統(tǒng)�。
密碼學(xué)俱樂部的第二條規(guī)則是:永遠(yuǎn)不要自己實(shí)現(xiàn)密碼系統(tǒng):在現(xiàn)實(shí)世界中,在實(shí)現(xiàn)以及設(shè)計密碼系統(tǒng)階段都找到過許多漏洞����。
Python 中的一個有用的基本加密庫就叫做 cryptography 。
它既是一個“安全”方面的基礎(chǔ)庫����,也是一個“危險”層。
“危險”層需要更加小心和相關(guān)的知識���,并且使用它很容易出現(xiàn)安全漏洞�����。
在這篇介紹性文章中�,我們不會涵蓋“危險”層中的任何內(nèi)容!cryptography 庫中最有用的高級安全功能是一種 Fernet 實(shí)現(xiàn)���。
Fernet 是一種遵循最佳實(shí)踐的加密緩沖區(qū)的標(biāo)準(zhǔn)�。
它不適用于非常大的文件,如千兆字節(jié)以上的文件���,因為它要求你一次加載要加密或解密的內(nèi)容到內(nèi)存緩沖區(qū)中�。
Fernet 支持 對稱(symmetric)(即 密鑰(secret key))加密方式*:加密和解密使用相同的密鑰��,因此必須保持安全�����。
生成密鑰很簡單:>>>k=fernet.Fernet.generate_key()>>>type(k)<class'bytes'>這些字節(jié)可以寫入有適當(dāng)權(quán)限的文件�,最好是在安全的機(jī)器上。
有了密鑰后����,加密也很容易:>>>frn=fernet.Fernet(k)>>>encrypted=frn.encrypt(b"xmarksthespot")>>>encrypted[:10]b'gAAAAABb1'如果在你的機(jī)器上加密,你會看到略微不同的值�����。
不僅因為(我希望)你生成了和我不同的密鑰����,而且因為 Fernet 將要加密的值與一些隨機(jī)生成的緩沖區(qū)連接起來。
這是我之前提到的“最佳實(shí)踐”之一:它將阻止對手分辨哪些加密值是相同的���,這有時是攻擊的重要部分���。
解密同樣簡單:>>>frn=fernet.Fernet(k)>>>frn.decrypt(encrypted)b'xmarksthespot'請注意,這僅加密和解密字節(jié)串����。
為了加密和解密文本串,通常需要對它們使用 UTF-8 進(jìn)行編碼和解碼���。
20 世紀(jì)中期密碼學(xué)最有趣的進(jìn)展之一是 公鑰(pubpc key)加密���。
它可以在發(fā)布加密密鑰的同時而讓解密密鑰保持保密。
例如���,它可用于保存服務(wù)器使用的 API 密鑰:服務(wù)器是唯一可以訪問解密密鑰的一方��,但是任何人都可以保存公共加密密鑰�。
雖然 cryptography 沒有任何支持公鑰加密的安全功能���,但 PyNaCl 庫有�����。
PyNaCl 封裝并提供了一些很好的方法來使用 Daniel J. Bernstein 發(fā)明的 NaCl 加密系統(tǒng)���。
NaCl 始終同時 加密(encrypt)和 簽名(sign)或者同時 解密(decrypt)和 驗證簽名(verify signature)�。
這是一種防止 基于可伸縮性(malleabipty-based)的攻擊的方法�,其中攻擊者會修改加密值。
加密是使用公鑰完成的��,而簽名是使用密鑰完成的:>>>fromnacl.pubpcimportPrivateKey,PubpcKey,Box>>>source=PrivateKey.generate()>>>withopen("target.pubkey","rb")asfpin:...target_pubpc_key=PubpcKey(fpin.read())>>>enc_box=Box(source,target_pubpc_key)>>>result=enc_box.encrypt(b"xmarksthespot")>>>result[:4]b'\xe2\x1c0\xa4'解密顛倒了角色:它需要私鑰進(jìn)行解密��,需要公鑰驗證簽名:>>>fromnacl.pubpcimportPrivateKey,PubpcKey,Box>>>withopen("source.pubkey","rb")asfpin:...source_pubpc_key=PubpcKey(fpin.read())>>>withopen("target.private_key","rb")asfpin:...target=PrivateKey(fpin.read())>>>dec_box=Box(target,source_pubpc_key)>>>dec_box.decrypt(result)b'xmarksthespot'最后����, PocketProtector 庫構(gòu)建在 PyNaCl 之上,包含完整的密鑰管理方案�����。
