3DES加解密的算法Java Python Golang
前言
最近做项目,发现一些报文需要加密,就简单研究了一些加密算法,包括国密和国际算法,顺便写了一个简单的对称加密算法应用,简单说明原理。实际工作中肯定更复杂,甚至需要专门的硬件配合才行。初步统计的国密和国际加密算法。
- 国密算法
SM1、SM2、SM3、SM4、SM7、SM9、ZUC
常用的SM2(非对称加密) SM3(摘要算法) SM4(对称加密)
- 非国密
RSA、ECC、DH(非对称)MD5、SHA(摘要算法) AES、DES、RC4(对称加密)
准备
一般而言,绝大多数报文和文件加密都是对称加密,毕竟计算资源消耗是非常恐怖的,而且可以通过其他方式增强安全性,比如非对称加密交换对称加密秘钥,秘钥随会话变化而变化,这不就是TLS的设计思想。
Java demo
以DES对称加密为例,但是DES加密的8位秘钥较容易被暴力破解,所以使用3DES加密为例,实际生产一般使用AES或者SM4等。
以外网的一个案例为例,笔者已经找不到最开始从哪里来的了
package com.feng.demo;import java.io.UnsupportedEncodingException;
import java.nio.charset.StandardCharsets;
import java.util.Base64;import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;/*** SecretUtils {3DES加密解密的工具类 }* @author William* @date 2013-04-19*/
public class SecretUtils {public static void main(String[] args) {String originStr = "abc";String resultStr = Base64.getEncoder().encodeToString(encryptMode(originStr.getBytes(StandardCharsets.UTF_8)));System.out.println(resultStr);}//定义加密算法,有DES、DESede(即3DES)、Blowfishprivate static final String Algorithm = "DESede";
// private static final String PASSWORD_CRYPT_KEY = "2012";private static final String PASSWORD_CRYPT_KEY = "2012PinganVitality075522628888ForShenZhenBelter075561869839";/*** 加密方法* @param src 源数据的字节数组* @return*/public static byte[] encryptMode(byte[] src) {try {SecretKey deskey = new SecretKeySpec(build3DesKey(PASSWORD_CRYPT_KEY), Algorithm); //生成密钥Cipher c1 = Cipher.getInstance(Algorithm); //实例化负责加密/解密的Cipher工具类c1.init(Cipher.ENCRYPT_MODE, deskey); //初始化为加密模式return c1.doFinal(src);} catch (Exception e3) {e3.printStackTrace();}return null;}/*** 解密函数* @param src 密文的字节数组* @return*/public static byte[] decryptMode(byte[] src) {try {SecretKey deskey = new SecretKeySpec(build3DesKey(PASSWORD_CRYPT_KEY), Algorithm);Cipher c1 = Cipher.getInstance(Algorithm);c1.init(Cipher.DECRYPT_MODE, deskey); //初始化为解密模式return c1.doFinal(src);} catch (Exception e3) {e3.printStackTrace();}return null;}/** 根据字符串生成密钥字节数组* @param keyStr 密钥字符串* @return* @throws UnsupportedEncodingException*/public static byte[] build3DesKey(String keyStr) throws UnsupportedEncodingException{byte[] key = new byte[24]; //声明一个24位的字节数组,默认里面都是0byte[] temp = keyStr.getBytes("UTF-8"); //将字符串转成字节数组/** 执行数组拷贝* System.arraycopy(源数组,从源数组哪里开始拷贝,目标数组,拷贝多少位)*///如果temp不够24位,则拷贝temp数组整个长度的内容到key数组中//如果temp大于24位,则拷贝temp数组24个长度的内容到key数组中System.arraycopy(temp, 0, key, 0, Math.min(key.length, temp.length));return key;}
}
简单优化了一下代码,简单说明
1. 构建24字节长度的秘钥,3DES刚好是DES的3倍秘钥
2. 传入加密算法和偏移量,这里使用ECB模式,没有偏移量,如果使用CBC模式需要传入IV偏移量
3. 通过base64转为字符串
运行后:
这里有个注意事项,内容和结果必须为block块的整数倍长度,如果不够必须填充,只不过Java包装了,见com.sun.crypto.provider.CipherCore.
prepareInputBuffer
这个Math方法写的看不懂
然后可以看到是通过数组填充
Python demo
其实刚刚的代码运行的好好的,但是,毕竟有Python客户端,甚至有C go等语言,怎么办,自己再写一遍实现,正是这一次重写,发现Java封装了好的隐藏逻辑,比如秘钥一定要大于16位,太短了补0,Java可以运行,但是Python不可以。
简单Python字符串和字节数组处理:
#正常字符串使用''或""表示
# 字符串前b,表示是字节数组
b = b"aaa"
# 单引号
b = b'aaa' # str to bytes
bytes('abc', encoding = 'utf8')
# an alternative method
str.encode('abc') # bytes to str
str(b, encoding = 'utf-8')
bytes.decode(b) 安装des3加密包
pip install pycryptodome然后根据3DES的规则编写代码
import base64
import sysfrom Crypto.Cipher import DES3#PASSWORD_CRYPT_KEY = '2012'
PASSWORD_CRYPT_KEY = b'2012PinganVitality075522628888ForShenZhenBelter075561869839'def build_3des_key(key_str, key_len=24) -> bytes:length = len(key_str)if length < key_len:key = key_str + chr(0) * (key_len - length)return bytes(key, 'utf-8')else:return key_str[:key_len]def build_src_fixed_len(src) -> str:delivery_len = 8 - len(src) % 8if delivery_len != 0:return src + chr(delivery_len) * delivery_lenreturn srcdef encrypt_mode(src) -> bytes:cipher = DES3.new(build_3des_key(PASSWORD_CRYPT_KEY), DES3.MODE_ECB)return cipher.encrypt(src)def decrypt_mode(src):cipher = DES3.new(build_3des_key(PASSWORD_CRYPT_KEY), DES3.MODE_ECB)return cipher.decrypt(src)args = sys.argv
print(args)
if args[1] == 'e':src = build_src_fixed_len(args[2])bytes_src = bytes(src, 'utf-8')bytes_res = encrypt_mode(bytes_src)bytes_res = base64.encodebytes(bytes_res)print(str(bytes_res, encoding = 'utf-8'))
else:bytes_src = base64.decodebytes(bytes(args[2], 'utf-8'))bytes_res = decrypt_mode(bytes_src)print(str(bytes_res, encoding = 'utf-8'))然后执行命令:python secure_demo.py e 'abc'
可以看到跟Java结果一模一样,解密同理:
这里python有2个注意点,是Java封装后看不出来的:
1. 内容字符串长度必须是8的整数倍
2. 秘钥字符串长度必须超过16位,否则封装的内容是不对的
判断长度,前8位和中间8位;反转判断,如果一样则认为是DES加解密,这个在Java里面封装了处理逻辑,所以可以正常运行
3. 如果不够block的内容,怎么填充呢,是block-长度%block(定义为8)
当然也可以使用class特性,使用main方法运行,各种语言开始趋同进化了。
golang demo
仿照python和Java
package secureimport ("crypto/des"
)const PASSWORD_CRYPT_KEY string = "2012PinganVitality075522628888ForShenZhenBelter075561869839"func buildSecureKey(key string) []byte {bytes := make([]byte, 24)copy(bytes, []byte(key))//fmt.Println(string(bytes))return bytes
}func BuildSrcBytes(src []byte) []byte {length := len(src)deliveryLength := des.BlockSize - length%des.BlockSizeif deliveryLength != 0 {deliverySlice := make([]byte, deliveryLength)for i := 0; i < deliveryLength; i++ {deliverySlice[i] = byte(deliveryLength)}bytes := append(src, deliverySlice...)//fmt.Println(string(bytes))return bytes}//fmt.Println(string(src))return src
}func EncryptMode(src []byte) []byte {cipher, _ := des.NewTripleDESCipher(buildSecureKey(PASSWORD_CRYPT_KEY))bytesOut := make([]byte, len(src))//fmt.Println(src)cipher.Encrypt(bytesOut, src)//fmt.Println(bytesOut)return bytesOut
}func DecryptMode(src []byte) []byte {cipher, _ := des.NewTripleDESCipher(buildSecureKey(PASSWORD_CRYPT_KEY))bytesOut := make([]byte, len(src))//fmt.Println(src)cipher.Decrypt(bytesOut, src)return bytesOut
}
然后写个main方法
package mainimport ("demo/secure""encoding/base64""fmt"
)func main() {originStr := "abc"src := secure.BuildSrcBytes([]byte(originStr))result := secure.EncryptMode(src)fmt.Println(base64.StdEncoding.EncodeToString(result))srcBase64 := "dRQLaDw5udI="bytes, _ := base64.StdEncoding.DecodeString(srcBase64)resOrigin := secure.DecryptMode(bytes)fmt.Println(string(resOrigin))
}
执行后跟其他语言一致
总结
实际上仅仅是对称加密,实际上并不安全,不仅面临碰撞攻击,还面临着秘钥保存的问题,根据HTTPS的TLS密码设计,应该动态生成对称加密密钥,使用非对称加密算法交换密钥,根据会话动态变化。但是没有绝对的安全,实际上是加密和性能的取舍问题。非对称加密非常消耗计算性能,但是安全等级很高,对称加密对性能消耗较低,但是安全等级较低。
以TLSv1.2为例,先通过非对称加密(证书)交换对称加密的秘钥,加密回话报文。
