跳至内容
概览
软件开发
Python开发
Python爬虫
常见加密算法

常见加密算法

js常见加密算法

  • 加密在前端开发和爬虫中是经常遇见的。掌握了加密算法且可以将加密的密文进行解密破解的,也是你从一个编程小白到大神级别质的一个飞跃。且加密算法的熟练和剖析也是很有助于帮助我们实现高效的js逆向。下述只把我们常用的加密方法进行总结。不去深究加密的具体实现方式。

  • 常见的加密算法基本分为这几类,

    • 线性散列算法(签名算法)MD5
    • 对称性加密算法 AES DES
    • 非对称性加密算法 RSA

MD5加密 

	MD5是一种被广泛使用的线性散列算法可以产生出一个128位16字节的散列值hash value),用于确保信息传输完整的一致性且MD5加密之后产生的是一个固定长度32位或16位的数据

解密
	常规讲MD5是不存在解密的但是理论上MD5是可以进行反向暴力破解的暴力破解的大致原理就是用很多不同的数据进行加密后跟已有的加密数据进行对比由此来寻找规律理论上只要数据量足够庞大MD5是可以被破解的但是要注意破解MD5是需要考虑破解的成本时间和机器性能)。假设破解当前的MD5密码需要目前计算能力最优秀的计算机工作100年才能破解完成那么当前的MD5密码就是安全的
    
增加破解成本的方法方法很多这里列举常用的)。
	使用一段无意义且随机的私匙进行MD5加密会生成一个加密串我们暂且称之为串1
    将要加密的的数据跟串1拼接再进行一次MD5这时会生成串2
    将串2再次进行MD5加密这时生成的串3就是我们加密后的数据
    
我们在注册账号时的密码一般都是用的MD5加密


<html>
	<script src="https://cdn.bootcss.com/blueimp-md5/2.10.0/js/md5.js"></script>
    <script type="text/javascript">
		var hashCode = md5("md5password!"); 
		alert(hashCode)
	</script>
		
</html>

DES/AES加密 

	DES全称为Data Encryption Standard,即数据加密标准,是一种使用密钥加密的算法。该加密算法是一种对称加密方式,其加密运算、解密运算需要使用的是同样的密钥(一组字符串)即可。
    
注意:
	现在用AES这个标准来替代原先的DES。
	AES和DES的区别:
		加密后密文长度的不同:
			DES加密后密文长度是8的整数倍
			AES加密后密文长度是16的整数倍
        应用场景的不同:
            企业级开发使用DES足够安全
            如果要求高使用AES
        DES和AES切换只需要修改 CryptoJS.AES <=> CryptoJS.DES
            使用DES/AES进行数据交互时要求双方都拥有相同的私匙
破解方法:
    暴力破解。
    DES如果使用 56 位的密钥,则可能的密钥数量是 2 的 56 次方个。只要计算足够强大是可以被破解的
    
DES算法的入口参数有三个:
	Key、Data、Mode,padding。
        Key为7个字节共56位,是DES算法的工作密钥;
        Data为8个字节64位,是要被加密或被解密的数据;
        Mode为DES的工作方式。
        padding为填充模式,如果加密后密文长度如果达不到指定整数倍(8个字节、16个字节),填充对应字符
        	padding的赋值固定为CryptoJS.pad.Pkcs7即可
            

<html>
	<script src="https://cdn.bootcss.com/crypto-js/3.1.9-1/crypto-js.js"></script>
    <script type="text/javascript">
		  var aseKey = "12345678"     //定制秘钥,长度必须为:8/16/32位
		  var message = "dfgtfhgfmgjfgbfdgf";
		  //加密 DES/AES切换只需要修改 CryptoJS.AES <=> CryptoJS.DES
		  var encrypt = CryptoJS.DES.encrypt(message, CryptoJS.enc.Utf8.parse(aseKey), {
			mode: CryptoJS.mode.ECB,
			padding: CryptoJS.pad.Pkcs7
		  }).toString();

		  alert(encrypt); // 0Gh9NGnwOpgmB525QS0JhVJlsn5Ev9cHbABgypzhGnM

		  //解密
		  var decrypt = CryptoJS.DES.decrypt(encrypt, CryptoJS.enc.Utf8.parse(aseKey), {
			mode: CryptoJS.mode.ECB,
			padding: CryptoJS.pad.Pkcs7
		  }).toString(CryptoJS.enc.Utf8);

		  alert(decrypt); // 我是一个密码
	</script>
		
</html>

RSA加密 

RSA加密
	RSA加密算法是一种非对称加密算法在公开密钥加密和电子商业中RSA被广泛使用
    
非对称加密算法
	非对称加密算法需要两个密钥
        公开密钥publickey:简称公钥
        私有密钥privatekey:简称私钥
        公钥与私钥是一对如果用公钥对数据进行加密只有用对应的私钥才能解密因为加密和解密使用的是两个不同的密钥所以这种算法叫作非对称加密算法
        
注意
    使用时都是使用公匙加密使用私匙解密公匙可以公开私匙自己保留
    算法强度复杂安全性依赖于算法与密钥但是由于其算法复杂而使得加密解密速度没有对称加密解密的速度快
    
使用流程和场景介绍
    通过公匙加密使用私匙解密私匙是通过公匙计算生成的假设ABC三方之间相互要进行加密通信大家相互之间使用公匙进行信息加密信息读取时使用各自对应的私匙进行信息解密
    用户输入的支付密码会通过RSA加密
    
公钥私钥生成方式
    公私匙可以在线生成
    	http://web.chacuo.net/netrsakeypair
	通过工具生成如OpenSSL等
     
    
<html>
	<script src="https://cdn.bootcss.com/jsencrypt/3.0.0-beta.1/jsencrypt.js"></script>
    <script type="text/javascript">
        //公钥
        var PUBLIC_KEY = '-----BEGIN PUBLIC KEY-----MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALyBJ6kZ/VFJYTV3vOC07jqWIqgyvHulv6us/8wzlSBqQ2+eOTX7s5zKfXY40yZWDoCaIGk+tP/sc0D6dQzjaxECAwEAAQ==-----END PUBLIC KEY-----';
        //私钥
		var PRIVATE_KEY = '-----BEGIN PRIVATE KEY-----MIIBVQIBADANBgkqhkiG9w0BAQEFAASCAT8wggE7AgEAAkEAvIEnqRn9UUlhNXe84LTuOpYiqDK8e6W/q6z/zDOVIGpDb545NfuznMp9djjTJlYOgJogaT60/+xzQPp1DONrEQIDAQABAkEAu7DFsqQEDDnKJpiwYfUE9ySiIWNTNLJWZDN/Bu2dYIV4DO2A5aHZfMe48rga5BkoWq2LALlY3tqsOFTe3M6yoQIhAOSfSAU3H6jIOnlEiZabUrVGqiFLCb5Ut3Jz9NN+5p59AiEA0xQDMrxWBBJ9BYq6RRY4pXwa/MthX/8Hy+3GnvNw/yUCIG/3Ee578KVYakq5pih8KSVeVjO37C2qj60d3Ok3XPqBAiEAqGPvxTsAuBDz0kcBIPqASGzArumljkrLsoHHkakOfU0CIDuhxKQwHlXFDO79ppYAPcVO3bph672qGD84YUaHF+pQ-----END PRIVATE KEY-----';
		//使用公钥加密
        var encrypt = new JSEncrypt();//实例化加密对象
        encrypt.setPublicKey(PUBLIC_KEY);//设置公钥
        var encrypted = encrypt.encrypt('hello bobo!');//对指定数据进行加密
		alert(encrypted)
        //使用私钥解密
        var decrypt = new JSEncrypt();
        decrypt.setPrivateKey(PRIVATE_KEY);//设置私钥
        var uncrypted = decrypt.decrypt(encrypted);//解密
		alert(uncrypted);
    </script>
</html>

base64伪加密 

    Base64是一种用64个字符来表示任意二进制数据的方法。base64是一种编码方式而不是加密算法。只是看上去像是加密而已。
    Base64使用A--Z,a--z,0--9,+,/ 这64个字符实现对数据进行加密。

<html>
    <script type="text/javascript">
		// 创建Base64对象
		var Base64={_keyStr:"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=",encode:function(e){var t="";var n,r,i,s,o,u,a;var f=0;e=Base64._utf8_encode(e);while(f<e.length){n=e.charCodeAt(f++);r=e.charCodeAt(f++);i=e.charCodeAt(f++);s=n>>2;o=(n&3)<<4|r>>4;u=(r&15)<<2|i>>6;a=i&63;if(isNaN(r)){u=a=64}else if(isNaN(i)){a=64}t=t+this._keyStr.charAt(s)+this._keyStr.charAt(o)+this._keyStr.charAt(u)+this._keyStr.charAt(a)}return t},decode:function(e){var t="";var n,r,i;var s,o,u,a;var f=0;e=e.replace(/[^A-Za-z0-9+/=]/g,"");while(f<e.length){s=this._keyStr.indexOf(e.charAt(f++));o=this._keyStr.indexOf(e.charAt(f++));u=this._keyStr.indexOf(e.charAt(f++));a=this._keyStr.indexOf(e.charAt(f++));n=s<<2|o>>4;r=(o&15)<<4|u>>2;i=(u&3)<<6|a;t=t+String.fromCharCode(n);if(u!=64){t=t+String.fromCharCode(r)}if(a!=64){t=t+String.fromCharCode(i)}}t=Base64._utf8_decode(t);return t},_utf8_encode:function(e){e=e.replace(/rn/g,"n");var t="";for(var n=0;n<e.length;n++){var r=e.charCodeAt(n);if(r<128){t+=String.fromCharCode(r)}else if(r>127&&r<2048){t+=String.fromCharCode(r>>6|192);t+=String.fromCharCode(r&63|128)}else{t+=String.fromCharCode(r>>12|224);t+=String.fromCharCode(r>>6&63|128);t+=String.fromCharCode(r&63|128)}}return t},_utf8_decode:function(e){var t="";var n=0;var r=c1=c2=0;while(n<e.length){r=e.charCodeAt(n);if(r<128){t+=String.fromCharCode(r);n++}else if(r>191&&r<224){c2=e.charCodeAt(n+1);t+=String.fromCharCode((r&31)<<6|c2&63);n+=2}else{c2=e.charCodeAt(n+1);c3=e.charCodeAt(n+2);t+=String.fromCharCode((r&15)<<12|(c2&63)<<6|c3&63);n+=3}}return t}}
		 
		// 定义字符串
		var string = 'i am bobo!';
		 
		// 加密
		var encodedString = Base64.encode(string);
		alert(encodedString); 
		 
		// 解密
		var decodedString = Base64.decode(encodedString);
		alert(decodedString); 
	</script>
		
</html>

拓展:https加密

  • https是基于http和SSL/TLS实现的一个协议,他可以保证在网络上传输的数据都是加密的,从而保证数据安全。

  • 接下来我们从http协议开始,提出想法并逐步进行分析,最终实现Https。

    1. http协议是不安全的。
    • 在https诞生之前,所有网站都使用http协议,而http协议在数据传输的过程中都是明文,所以可能存在数据泄露和篡改。 image-20210420161432226
    1. 使用对称秘钥进行数据加密
    • 为了防止数据泄露和篡改,我们对数据进行加密,如:生成一个对称密码【DKUFHNAF897123F】,将对称秘钥分别交给浏览器和服务器端,他们之间传输的数据都使用对称秘钥进行加密和解密。

    image-20210420161558774

  • 请求和响应流程如下:

    • 客户端使用对称秘钥对请求进行加密,并发送给服务端。
    • 服务端接收到密文之后,使用对称秘钥对密文进行解密,然后处理请求。 最后再使用对称秘钥把要返回的内容再次加密,返回给客户端。
    • 客户端接收到密文之后,使用对称秘钥进行解密,并获取最终的响应内容。

  • 如此一来,数据传输都是密文,解决了明文传输数据的问题。但是,这么干有bug。

    • 浏览器如何获取对称秘钥?
    • 每个客户端的对称秘钥相同,浏览器能拿到对称秘钥,那么黑客也可以拿到,所以,数据加密也就没有意义了。
    1. 动态对称秘钥和非对称秘钥
    • 为了解决对称秘钥动态性以及让客户端和服务端安全的获取对称秘钥,可以引入非对称秘钥机制。

    image-20210420161701359

  • 如此一来,解决了 动态对称秘钥 和 数据加密的问题,因为每个用户的对称秘钥都是随机生成且传输的过程中都使用公钥加密(公钥加密的数据只有私钥能解密),所有黑客无法截获对称秘钥。而数据传输是通过对称秘钥加密过的,所以黑客即使能获取数据也无法去解密看到真实的内容。 看似无懈可击,但是,这么干还是又bug。

  • 如果黑客在上图 【步骤2】劫持,黑客把自己的公钥返回给客客户端,那么客户端会使用黑客的公钥来加密对称秘钥,黑客在【步骤6】截获请求,使用自己的私钥获取对称秘钥,后面过程全都会完蛋…

    1. CA证书的应用
    • 使用 ca 证书可以解决黑客劫持的问题。

    download

  • 如此一来,就解决了黑客劫持的问题,因为即使黑客劫持后的给浏览器即使返回了证书也无法通过校验,同时浏览器也会提示错误信息。

  • 以上就是Https的实现原理,https可以保证数据安全,但由过程需要反复加密解密所有访问速度会有所下降(鱼和熊掌不能兼得)。

最后更新于
Selenium模拟登陆