对称加密工具。了解对称加密的原理后就很简单了。
[[email protected] tmp]# man enc NAME enc - symmetric cipher routines SYNOPSIS openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a/-base64] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-S salt] [-salt] [-nosalt] [-z] [-md] [-p] [-P] [-bufsize number] [-nopad] [-debug] [-none] [-engine id]
enc和-ciphername:ciphername代表的是对称加密的算法名称(如base64、des),可以独立于enc直接使用openssl des,也可以enc -ciphername使用openssl enc -des。推荐在enc后使用,这样算法不依赖于硬件要求
-in filename:输入文件,不指定时默认是stdin
-out filename:输出文件,不指定时默认是stdout
-e:对输入文件加密操作,不指定时默认就是该选项
-d:对输入文件解密操作,只有显示指定该选项才是解密
-k password:加解密时指定的密码,不指定时有些加密算法需要交互输入密码
-a/-base64:在加密前和解密后进行base64编码,不指定时默认是二进制。它不是加解密的一部分,而是加解密前后对数据整理的一种格式
-salt:加密时使用salt值复杂化加密结果,不指定时默认该选项,但是使用随机salt值
-S salt:不使用随机salt值,而是指定的salt值
-p:打印加解密时salt值、key值和IV初始化向量值(也是复杂化加密的一种方式),解密时还输出解密结果
-P:和-p选项作用相同,但是打印时直接退出工具,不进行加密或解密操作
-md:摘要算法(单向加密),默认md5。该算法是拿来加密key部分的,见后面示例。
加密机制:根据指定的对称加密算法,对输入的密码进行单向加密(默认是md5)得到固定长度的加密密码,即对称加密的密钥,再使用对称密钥对文件进行对称加密。
解密机制:根据输入的解密密码和单向加密算法得到对称密钥,根据对称密钥解密文件。因此必须要输入正确的密码、单向加密算法和对称加密算法。
分别如下图所示:对于图中的命令看过示例部分的内容后就明白了。
注意事项:如果加密指定了-a/-base64、对称加密算法、单向加密算法,那么解密时也要指定。解密时可以不指定salt,因为salt只参与加密的推导过程,解密时会忽略指定的salt值,因此输入任意salt都是可以的。
示例:
这是测试文件test.txt中的内容。
[[email protected] test]# cat test.txt djklasdjk
使用默认算法加解密:其实并非加密,只是进行了重新编码,因此密码都不需要。
[[email protected] test]# openssl enc -a -in test.txt -out test.1 [[email protected] test]# cat test.1 ZGprbGFzZGprCg== /*加密后的结果*/ [[email protected] test]# openssl enc -a -d -in test.1 djklasdjk /*解密后的结果和加密前结果一样*/
使用des3加密算法加密:
[[email protected] test]# openssl enc -a -des3 -in test.txt -out test.1 enter des-ede3-cbc encryption password: /*输入的密码是123456*/ Verifying - enter des-ede3-cbc encryption password: [[email protected] test]# openssl enc -a -des3 -d -in test.1 -k 123456 /*指定密码*/ djklasdjk
加密解密指定密码的格式有几种,在man openssl的“PASS PHRASE ARGUMENTS”部分有。这里的-k 123456对应的是-pass pass:123456。
加密时加入一点盐吧。其实不写时默认就已经加入了,只不过是加入随机盐值。使用-S可以指定盐的值。但是盐的值只能是16进制范围内字符的组合,即"0-9a-fA-F"的任意一个或多个组合。
[[email protected] test]# openssl enc -a -des3 -S ‘Ffff‘ -in test.txt -out test.1 -k 123456 [[email protected] test]# cat test.1 U2FsdGVkX1///wAAAAAAAJuaM/xIiTLv7s+qaaRV23M= [[email protected] test]# openssl enc -a -des3 -d -S ‘Ffff‘ -in test.1 -k 123456 djklasdjk [[email protected] test]# openssl enc -a -des3 -d -in test.1 -k 123456 /*解密不指定salt也一样的*/ djklasdjk
使用-p和-P看看加解密时相关的参数吧。
[[email protected] test]# openssl enc -a -des3 -d -in test.1 -k 123456 -p salt=FFFF000000000000 key=BFC6625C1427E898AD4E1C0A9E6E850CC0178DC631D2C253 iv =55C687D7CA5F3444 djklasdjk
其中key就是-k指定的password运算后的固定长度的值,加解密工具不会直接使用-k指定的密码进行加密,而是先将该指定密码运算得到固定长度的值,使用该值进行数据加密。因此enc伪命令还有一个“-K”选项,就是用于显示指定固定长度值的。
那么这个固定长度的值是怎么计算的呢?这就是-md选项指定的单向加密的作用了,对密码加密时还会将salt加入运算,所以不指定-S选项时因为随机salt的原因得到的key一定是不一样的。默认-md指定的是md5算法。
[[email protected] test]# openssl enc -a -des3 -S ‘ffff‘ -in test.txt -k 123456 -p -md md5 salt=FFFF000000000000 key=BFC6625C1427E898AD4E1C0A9E6E850CC0178DC631D2C253 iv =55C687D7CA5F3444 U2FsdGVkX1///wAAAAAAAJuaM/xIiTLv7s+qaaRV23M=
[[email protected] test]# openssl enc -a -des3 -S ‘ffff‘ -in test.txt -k 123456 -p salt=FFFF000000000000 key=BFC6625C1427E898AD4E1C0A9E6E850CC0178DC631D2C253 iv =55C687D7CA5F3444 U2FsdGVkX1///wAAAAAAAJuaM/xIiTLv7s+qaaRV23M=
可见,salt一样,密码一样,算法一样,得到的key一样,加密的数据结果就一样。
[[email protected] test]# openssl enc -a -des3 -S ‘ffff‘ -in test.txt -k 123456 -p -md sha512 salt=FFFF000000000000 key=770AAF671702ADEB8F8828A6C5EA459675426D5495CF0BC5 iv =6AE106C6E4A8C3A1 U2FsdGVkX1///wAAAAAAADZi5iLwmAjsrZpYppm3vm4=
salt一样,密码一样,算法不一样,key就不一样了,key不一样,加密的数据结果就不一样。