技術文章 » 密碼學奇妙之旅、02 混合加密系統、AES、RSA標準、Golang程式碼

密碼學奇妙之旅、02 混合加密系統、AES、RSA標準、Golang程式碼

2022-09-27 06:06:29

CTR 計數器模式

計數器模式CTR是分組密碼模式中的一種。通過將逐次累加的計數器進行加密來生成金鑰流的串流加密法。每次加密時會生成一個不同的值來作為計數器的初始值。

  • 可以事先進行加密、解密的準備。
  • 加密、解密使用相同結構。
  • 對包含某些錯誤位元的密文進行解密時,只有明文中響應的位元會出錯。
  • 加密和解密均支援並行運算。可以以任意順序對分組進行加密和解密。

在CTR模式基礎上新增認證功能的模式稱為GCM模式。生成密文的同時生成用於認證的資訊。用於識別主動攻擊者傳送的偽造的密文。


混合密碼系統

混合密碼系統能夠解決對稱密碼金鑰分配的問題和公鑰密碼速度慢的問題。使用快速的對稱密碼來對訊息進行加密,再使用公鑰密碼對對稱密碼的金鑰進行加密,由於對稱密碼的金鑰一般比訊息本身要短,因此可以忽略公鑰密碼速度慢的問題。

對談金鑰是對稱密碼的金鑰,同時也是公鑰密碼的明文。


一個問題

由於對談金鑰已經通過公鑰密碼進行加密,因此對談金鑰的長度較短也沒有問題。

錯!當對談金鑰長度較短,當攻擊者已知加密方式、分組密碼模式的情況下可以通過 brute-force 暴力破解組合訊息的後半段部分。增加風險。


RSA-OAEP 最優非對稱加密填充

RSA-OAEP 是RSA的改良演演算法,在加密時會在明文前面填充一些認證資訊,包括明文雜湊值以及一定數量的0。

RSA-OEAP 最大的優點是認證資訊。好處是可以防禦選擇密文攻擊(攻擊者將任意密文傳送給伺服器,伺服器傳送解密提示),伺服器可以固定返回錯誤訊息decryption error,而不是將具體的錯誤內容告知攻擊者。

ciphertext, err := rsa.EncryptOAEP(sha256.New(), rand.Reader, &key, []byte(secretMessage), label)

sha256是我們選擇的單向雜湊函數。至於為什麼需要rand.Reader,這是OAEP演演算法需要的,通過亂數使得每次生成的密文呈現不同的排列方式,進一步提高安全性。key 是接收人的公鑰。[]byte(secretMessage)是加密資訊的位元組表現形式。label用於給公鑰新增標籤,不會被加密。

如果公鑰標籤不同,假設我們修改下文的RSA_OAEP_EncryptRSA_OAEP_Decrypt 函數中的 label := []byte("標籤")。那麼當兩個函數各自label不同時,會發生如下錯誤。根據官方檔案,如果給定的公鑰用於加密兩種型別的訊息,則可以使用不同的標籤值來確保攻擊者不能將用於一種目的的密文用於另一種目的。如果不需要,它可以是空的。

crypto/rsa: decryption error
panic: crypto/rsa: decryption error

goroutine 1 [running]:
main.CheckError({0x10092e0, 0xc0000603d0})
        C:/Users/小能喵喵喵/Desktop/Go/Cryptography/HybridCryptoSystem/rsa_crypto.go:14 +0x9d
main.RSA_OAEP_Decrypt(0xc00031a4e0?, {0xc00031a4e0?, 0xfe8637?})
        C:/Users/小能喵喵喵/Desktop/Go/Cryptography/HybridCryptoSystem/rsa_crypto.go:37 +0x134
main.hybridDecrypt(0x1009360?, {0xc000316fc0?, 0xfe2c44?})
        C:/Users/小能喵喵喵/Desktop/Go/Cryptography/HybridCryptoSystem/main.go:56 +0xbd
main.main()
        C:/Users/小能喵喵喵/Desktop/Go/Cryptography/HybridCryptoSystem/main.go:35 +0x2dc
exit status 2

任何擁有密文簽名、密文訊息和公鑰的人都可以使用 RSA 驗證來確保訊息確實來自頒發公鑰的一方。如果資料或簽名不匹配,則驗證過程失敗。只有擁有私鑰的一方才能簽署訊息,但擁有公鑰的任何人都可以驗證它。

msg := []byte("verifiable message")

//在簽名之前,我們需要對我們的訊息進行雜湊處理
msgHash := sha256.New()
_, err = msgHash.Write(msg)
if err != nil {
	panic(err)
}
msgHashSum := msgHash.Sum(nil)

//為了生成簽名,我們提供了一個亂數生成器,我們的私鑰,我們使用的雜湊演演算法和訊息的雜湊資訊
signature, err := rsa.SignPSS(rand.Reader, privateKey, crypto.SHA256, msgHashSum, nil)
if err != nil {
	panic(err)
}

//為了驗證簽名,我們提供了公鑰,雜湊演演算法,我們訊息的雜湊和和我們之前生成的簽名
//有一個可選的"選項"引數,現在可以省略
err = rsa.VerifyPSS(&publicKey, crypto.SHA256, msgHashSum, signature, nil)
if err != nil {
	fmt.Println("could not verify signature: ", err)
	return
}
//如果我們沒有從 `VerifyPSS` 方法中得到任何錯誤,這意味著我們的簽名有效
fmt.Println("signature verified")

程式碼

aes_crypto.go

package main

import (
	"crypto/aes"
	"crypto/cipher"
	"crypto/rand"
	"encoding/base64"
	"errors"
	"io"
)

// ^ 生成對談金鑰
func AES_Key_Generator() []byte {
	var key []byte = make([]byte, 32)
	_, err := io.ReadFull(rand.Reader, key)
	CheckError(err)
	return key
}

func AES_Encrypt(key []byte, message string) (encoded string, err error) {
	//從輸入字串建立位元組切片
	plainText := []byte(message)

	//使用金鑰建立新的 AES 密碼
	block, err := aes.NewCipher(key)

	//如果 NewCipher 失敗,退出:
	CheckError(err)

	// ^ 使密文成為大小為 BlockSize + 訊息長度的位元組切片,這樣傳值後修改不會更改底層陣列
	cipherText := make([]byte, aes.BlockSize+len(plainText))

	// ^ iv 是初始化向量 (16位元組)
	iv := cipherText[:aes.BlockSize]
	if _, err = io.ReadFull(rand.Reader, iv); err != nil {
		return
	}

	// ^ 加密資料,給定加密演演算法用的金鑰,以及初始化向量
	stream := cipher.NewCTR(block, iv)
	stream.XORKeyStream(cipherText[aes.BlockSize:], plainText)

	return base64.RawStdEncoding.EncodeToString(cipherText), err
}

func AES_Decrypt(key []byte, secure string) (decoded string, err error) {
	//刪除 base64 編碼:
	cipherText, err := base64.RawStdEncoding.DecodeString(secure)

	//如果解碼字串失敗,退出:
	CheckError(err)

	//使用金鑰和加密訊息建立新的 AES 密碼
	block, err := aes.NewCipher(key)

	//如果 NewCipher 失敗,退出:
	CheckError(err)

	//如果密文的長度小於 16 位元組
	if len(cipherText) < aes.BlockSize {
		err = errors.New("密文分組長度太小")
		return
	}

	// ^ iv 是初始化向量 (16位元組)
	iv := cipherText[:aes.BlockSize]
	cipherText = cipherText[aes.BlockSize:]

	//解密訊息
	stream := cipher.NewCTR(block, iv)
	stream.XORKeyStream(cipherText, cipherText)

	return string(cipherText), err
}

rsa_crypto.go

package main

import (
	"crypto/rand"
	"crypto/rsa"
	"crypto/sha256"
	"encoding/base64"
	"fmt"
)

func CheckError(e error) {
	if e != nil {
		fmt.Println(e.Error())
		panic(e)
	}
}

// ^ 生成金鑰與公鑰
func RSA_Generator() (*rsa.PrivateKey, rsa.PublicKey) {
	privateKey, err := rsa.GenerateKey(rand.Reader, 2048)
	CheckError(err)
	return privateKey, privateKey.PublicKey
}

func RSA_OAEP_Encrypt(key rsa.PublicKey, secretMessage string) string {
	label := []byte("標籤")
	ciphertext, err := rsa.EncryptOAEP(sha256.New(), rand.Reader, &key, []byte(secretMessage), label)
	CheckError(err)
	return base64.RawStdEncoding.EncodeToString(ciphertext)
}

func RSA_OAEP_Decrypt(privKey *rsa.PrivateKey, cipherText string) string {
	ct, _ := base64.RawStdEncoding.DecodeString(cipherText)
	label := []byte("標籤")
	// ^ 解密過程中的 rand.Reader 不是必選的,但一般要提供用來防止 side channel attacks.
	plaintext, err := rsa.DecryptOAEP(sha256.New(), rand.Reader, privKey, ct, label)
	CheckError(err)
	return string(plaintext)
}

main.go

package main

import (
	"bufio"
	"crypto/rsa"
	"encoding/base64"
	"fmt"
	"os"
	"strings"
)

func main() {
	privateKey, publicKey := RSA_Generator()
	fmt.Printf("\n\t共同N: %v\n\t公鑰E: %v\n\t私鑰D: %v\n", publicKey.N, publicKey.E, privateKey.D)

	reader := bufio.NewReader(os.Stdin)

	var message string

	// 如果沒有給執行附加引數
	if len(os.Args) != 2 {
		fmt.Printf("\n\t獲取不到程式執行附加引數,手動輸入字串\n")
		fmt.Printf("\t字串:")
		message, _ = reader.ReadString('\n')
	} else {
		message = os.Args[1]
	}

	encrypted := hybridEncrypt(publicKey, message)

	//列印金鑰和密文
	fmt.Printf("\n\t加密後: %s\n", encrypted)

	//解密文字
	decrypted := hybridDecrypt(privateKey, encrypted)

	//列印重新解密的文字:
	fmt.Printf("\t解密後: %s\n\n", decrypted)
}

// ^ 實現混合密碼系統加密
func hybridEncrypt(publicKey rsa.PublicKey, message string) string {
	AES_key := AES_Key_Generator()
	encrypted, err := AES_Encrypt(AES_key, message)
	CheckError(err)
	head := RSA_OAEP_Encrypt(publicKey, string(AES_key))
	return base64.RawStdEncoding.EncodeToString([]byte(head + "|組合加密的對談金鑰與訊息|" + encrypted))
}

// ^ 實現混合密碼系統解密
func hybridDecrypt(privateKey *rsa.PrivateKey, message string) string {
	mes, err := base64.RawStdEncoding.DecodeString(message)
	CheckError(err)
	splits := strings.Split(string(mes), "|組合加密的對談金鑰與訊息|")
	head, encrypted := splits[0], splits[1]
	AES_key := RSA_OAEP_Decrypt(privateKey, head)
	decrypted, err := AES_Decrypt([]byte(AES_key), encrypted)
	CheckError(err)
	return decrypted
}

Console

PS C:\Users\小能喵喵喵\Desktop\Go\Cryptography\HybridCryptoSystem> go run .

        共同N: 27640386706278435101453826167880213380728173376705028554783165783279386289425385951480103560680095783771843646857109485131423632909299132644495753077858557656973966723671714379227388216997874772747942697857840884958167490215992557618790374058240600396830575755231210656224988403861978602412271792545641212145711389619141451899401914724049344335805426393895927923656887621076309994751218768872654198553908831397491866304367960002592041669717397769735292092598621160683203319490180735669006214925366299990837670410127282438512376259066563653513041612145434668849944713663380228178995120226612134278958851534636750809001
        公鑰E: 65537
        私鑰D: 21389172708682283842260567223157071907527493061928308026852438358469476412838678128832773121746357899720601348098910654110504746067032447503938265671965405062383611126402047618025191776020373515722598134212130559541228073703466172690799911811094069748771879235035946845758125744264465032292267939621163527075589206186236252262969497020056020747918051369037068208691174340727908489331589607362106509257993751131469180199656580210783551516628845816453711183613127441188183231286809500171237776949663326262795200507964067032050374872022735029012264732773085633122224061096049966893027129668814251907555802752863797705473

        獲取不到程式執行附加引數,手動輸入字串
        字串:系統對於不同輸入,反饋時間動態變化,利用這個特性獲取機密資訊的方法稱之為時序攻擊。

        加密後: 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
        解密後: 系統對於不同輸入,反饋時間動態變化,利用這個特性獲取機密資訊的方法稱之為時序攻擊。

參考資料

rsa package - crypto/rsa - Go Packages

Implementing RSA Encryption and Signing in Golang (With Examples) (sohamkamani.com)