7.openssl enc

对称加密工具。了解对称加密的原理后就很简单了。

[[email protected] tmp]# man enc

NAME

enc - symmetric cipher routines

SYNOPSIS

openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a/-base64] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-S salt] [-salt] [-nosalt] [-z] [-md] [-p] [-P] [-bufsize number] [-nopad] [-debug] [-none] [-engine id]

enc和-ciphername:ciphername代表的是对称加密的算法名称（如base64、des），可以独立于enc直接使用openssl des，也可以enc -ciphername使用openssl enc -des。推荐在enc后使用，这样算法不依赖于硬件要求

-in filename:输入文件，不指定时默认是stdin

-out filename:输出文件，不指定时默认是stdout

-e:对输入文件加密操作，不指定时默认就是该选项

-d:对输入文件解密操作，只有显示指定该选项才是解密

-k password:加解密时指定的密码，不指定时有些加密算法需要交互输入密码

-a/-base64:在加密前和解密后进行base64编码，不指定时默认是二进制。它不是加解密的一部分，而是加解密前后对数据整理的一种格式

-salt:加密时使用salt值复杂化加密结果，不指定时默认该选项，但是使用随机salt值

-S salt:不使用随机salt值，而是指定的salt值

-p:打印加解密时salt值、key值和IV初始化向量值（也是复杂化加密的一种方式），解密时还输出解密结果

-P:和-p选项作用相同，但是打印时直接退出工具，不进行加密或解密操作

-md:摘要算法(单向加密)，默认md5。该算法是拿来加密key部分的，见后面示例。

加密机制：根据指定的对称加密算法，对输入的密码进行单向加密(默认是md5)得到固定长度的加密密码，即对称加密的密钥，再使用对称密钥对文件进行对称加密。

解密机制：根据输入的解密密码和单向加密算法得到对称密钥，根据对称密钥解密文件。因此必须要输入正确的密码、单向加密算法和对称加密算法。

分别如下图所示：对于图中的命令看过示例部分的内容后就明白了。

注意事项：如果加密指定了-a/-base64、对称加密算法、单向加密算法，那么解密时也要指定。解密时可以不指定salt，因为salt只参与加密的推导过程，解密时会忽略指定的salt值，因此输入任意salt都是可以的。

示例：

这是测试文件test.txt中的内容。

[[email protected] test]# cat test.txt 

djklasdjk

使用默认算法加解密：其实并非加密，只是进行了重新编码，因此密码都不需要。

[[email protected] test]# openssl enc -a -in test.txt -out test.1

[[email protected] test]# cat test.1

ZGprbGFzZGprCg==    /*加密后的结果*/

[[email protected] test]# openssl enc -a -d -in test.1

djklasdjk    /*解密后的结果和加密前结果一样*/

使用des3加密算法加密：

[[email protected] test]# openssl enc -a -des3 -in test.txt -out test.1

enter des-ede3-cbc encryption password: /*输入的密码是123456*/

Verifying - enter des-ede3-cbc encryption password:

[[email protected] test]# openssl enc -a -des3 -d -in test.1 -k 123456 /*指定密码*/

djklasdjk

加密解密指定密码的格式有几种，在man openssl的“PASS PHRASE ARGUMENTS”部分有。这里的-k 123456对应的是-pass pass:123456。

加密时加入一点盐吧。其实不写时默认就已经加入了，只不过是加入随机盐值。使用-S可以指定盐的值。但是盐的值只能是16进制范围内字符的组合，即"0-9a-fA-F"的任意一个或多个组合。

[[email protected] test]# openssl enc -a -des3 -S ‘Ffff‘ -in test.txt -out test.1 -k 123456 

[[email protected] test]# cat test.1

U2FsdGVkX1///wAAAAAAAJuaM/xIiTLv7s+qaaRV23M=

[[email protected] test]# openssl enc -a -des3 -d -S ‘Ffff‘ -in test.1 -k 123456

djklasdjk

[[email protected] test]# openssl enc -a -des3 -d -in test.1 -k 123456   /*解密不指定salt也一样的*/

djklasdjk

使用-p和-P看看加解密时相关的参数吧。

[[email protected] test]# openssl enc -a -des3 -d -in test.1 -k 123456 -p

salt=FFFF000000000000

key=BFC6625C1427E898AD4E1C0A9E6E850CC0178DC631D2C253

iv =55C687D7CA5F3444

djklasdjk

其中key就是-k指定的password运算后的固定长度的值，加解密工具不会直接使用-k指定的密码进行加密，而是先将该指定密码运算得到固定长度的值，使用该值进行数据加密。因此enc伪命令还有一个“-K”选项，就是用于显示指定固定长度值的。

那么这个固定长度的值是怎么计算的呢？这就是-md选项指定的单向加密的作用了，对密码加密时还会将salt加入运算，所以不指定-S选项时因为随机salt的原因得到的key一定是不一样的。默认-md指定的是md5算法。

[[email protected] test]# openssl enc -a -des3 -S ‘ffff‘ -in test.txt -k 123456 -p -md md5

salt=FFFF000000000000

key=BFC6625C1427E898AD4E1C0A9E6E850CC0178DC631D2C253

iv =55C687D7CA5F3444

U2FsdGVkX1///wAAAAAAAJuaM/xIiTLv7s+qaaRV23M=

[[email protected] test]# openssl enc -a -des3 -S ‘ffff‘ -in test.txt -k 123456 -p

salt=FFFF000000000000

key=BFC6625C1427E898AD4E1C0A9E6E850CC0178DC631D2C253

iv =55C687D7CA5F3444

U2FsdGVkX1///wAAAAAAAJuaM/xIiTLv7s+qaaRV23M=

可见，salt一样，密码一样，算法一样，得到的key一样，加密的数据结果就一样。

[[email protected] test]# openssl enc -a -des3 -S ‘ffff‘ -in test.txt -k 123456 -p -md sha512

salt=FFFF000000000000

key=770AAF671702ADEB8F8828A6C5EA459675426D5495CF0BC5

iv =6AE106C6E4A8C3A1

U2FsdGVkX1///wAAAAAAADZi5iLwmAjsrZpYppm3vm4=

salt一样，密码一样，算法不一样，key就不一样了，key不一样，加密的数据结果就不一样。