版本記錄

前言

在這個(gè)信息爆炸的年代，特別是一些敏感的行業(yè)，比如金融業(yè)和銀行卡相關(guān)等等，這都對(duì)app的安全機(jī)制有更高的需求，很多大公司都有安全 部門，用于檢測(cè)自己產(chǎn)品的安全性，但是及時(shí)是這樣，安全問題仍然被不斷曝出，接下來幾篇我們主要說一下app的安全機(jī)制。感興趣的看我上面幾篇。
1. APP安全機(jī)制（一）—— 幾種和安全性有關(guān)的情況
2. APP安全機(jī)制（二）—— 使用Reveal查看任意APP的UI
3. APP安全機(jī)制（三）—— Base64加密
4. APP安全機(jī)制（四）—— MD5加密
5. APP安全機(jī)制（五）—— 對(duì)稱加密

非對(duì)稱加密基本了解

下面我們就看一下非對(duì)稱加密基本了解，來自百度百科。

對(duì)稱加密算法在加密和解密時(shí)使用的是同一個(gè)秘鑰；而非對(duì)稱加密算法需要兩個(gè)密鑰來進(jìn)行加密和解密，這兩個(gè)秘鑰是公開密鑰（public key，簡(jiǎn)稱公鑰）和私有密鑰（private key，簡(jiǎn)稱私鑰）。

定義

1976年，美國(guó)學(xué)者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協(xié)議，允許在不安全的媒體上的通訊雙方交換信息，安全地達(dá)成一致的密鑰，這就是“公開密鑰系統(tǒng)”。
與對(duì)稱加密算法不同，非對(duì)稱加密算法需要兩個(gè)密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。公開密鑰與私有密鑰是一對(duì)，如果用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密，只有用對(duì)應(yīng)的私有密鑰才能解密；如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用對(duì)應(yīng)的公開密鑰才能解密。因?yàn)榧用芎徒饷苁褂玫氖莾蓚€(gè)不同的密鑰，所以這種算法叫作非對(duì)稱加密算法。

優(yōu)缺點(diǎn)

非對(duì)稱加密與對(duì)稱加密相比，

• 優(yōu)點(diǎn)：其安全性更好，對(duì)稱加密的通信雙方使用相同的秘鑰，如果一方的秘鑰遭泄露，那么整個(gè)通信就會(huì)被破解。而非對(duì)稱加密使用一對(duì)秘鑰，一個(gè)用來加密，一個(gè)用來解密，而且公鑰是公開的，秘鑰是自己保存的，不需要像對(duì)稱加密那樣在通信之前要先同步秘鑰。

• 缺點(diǎn)：非對(duì)稱加密的缺點(diǎn)是加密和解密花費(fèi)時(shí)間長(zhǎng)、速度慢，只適合對(duì)少量數(shù)據(jù)進(jìn)行加密。

在非對(duì)稱加密中使用的主要算法有：RSA、Elgamal、背包算法、Rabin、D-H、ECC（橢圓曲線加密算法）等。不同算法的實(shí)現(xiàn)機(jī)制不同，可參考對(duì)應(yīng)算法的詳細(xì)資料。

非對(duì)稱加密工作原理

下面我們就看一下非對(duì)稱加密的工作原理。

• 乙方生成一對(duì)密鑰（公鑰和私鑰）并將公鑰向其它方公開。
• 得到該公鑰的甲方使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給乙方。
• 乙方再用自己保存的另一把專用密鑰（私鑰）對(duì)加密后的信息進(jìn)行解密。乙方只能用其專用密鑰（私鑰）解密由對(duì)應(yīng)的公鑰加密后的信息。
• 在傳輸過程中，即使攻擊者截獲了傳輸?shù)拿芪?，并得到了乙的公鑰，也無法破解密文，因?yàn)橹挥幸业乃借€才能解密密文。同樣，如果乙要回復(fù)加密信息給甲，那么需要甲先公布甲的公鑰給乙用于加密，甲自己保存甲的私鑰用于解密。

如下圖所示，甲乙之間使用非對(duì)稱加密的方式完成了重要信息的安全傳輸。

非對(duì)稱加密算法工作原理

非對(duì)稱加密ios代碼層實(shí)現(xiàn)

1. RSA算法

下面先看一下RSA算法的ios實(shí)現(xiàn)。

首先我們要用Terminal生成幾個(gè)文件（包括公鑰，私鑰和證書）。

openssl genrsa -out private_key.pem 1024

openssl req -new -key private_key.pem -out rsaCertReq.csr

openssl x509 -req -days 3650 -in rsaCertReq.csr -signkey private_key.pem -out rsaCert.crt

//為ios創(chuàng)建 public_key.der 
openssl x509 -outform der -in rsaCert.crt -out public_key.der　　　　　　　　　　　　　　　
 
// 為ios創(chuàng)建 private_key.p12，這一步，請(qǐng)記住你輸入的密碼，IOS代碼里會(huì)用到
openssl pkcs12 -export -out private_key.p12 -inkey private_key.pem -in rsaCert.crt　　

// 為JAVA創(chuàng)建 rsa_public_key.pem
openssl rsa -in private_key.pem -out rsa_public_key.pem -pubout　　　　　　　　　　　　　
　
// 為JAVA創(chuàng)建 pkcs8_private_key.pem
openssl pkcs8 -topk8 -in private_key.pem -out pkcs8_private_key.pem -nocrypt　　　　　

下面就是代碼部分了。

1. JJRSAVC.m

#import "JJRSAVC.h"

@interface JJRSAVC ()

@property (nonatomic, assign) BOOL isEncode;
@property (nonatomic, assign) SecKeyRef publicKey;
@property (nonatomic, assign) SecKeyRef privateKey;
@property (nonatomic, copy) NSString *encryptStr;

@end

@implementation JJRSAVC

#pragma mark - Override Base Function

- (void)viewDidLoad
{
    [super viewDidLoad];
    
    self.view.backgroundColor = [UIColor lightGrayColor];
    
    self.isEncode = YES;
}

- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event
{
    if (self.isEncode) {
        //加密
        NSString *rsaEncryptResult = [self beginEncryptWithStr:@"Celin"];
        NSLog(@"加密結(jié)果 = %@", rsaEncryptResult);
        self.encryptStr = rsaEncryptResult;
    }
    else {
        //解密
        NSString * rsaDecryptResult = [self beginDecryptWithStr:self.encryptStr];
        NSLog(@"解密結(jié)果 = %@", rsaDecryptResult);
    }
}

#pragma mark - Object Private Function

//加密

- (NSString *)beginEncryptWithStr: (NSString *)inputStr
{
    self.isEncode = NO;
    
    [self loadPublicKeyFromFile:@"/Users/lily/Desktop/RSA/public_key.der"];
    
    NSString *result = [self rsaEncryptString:inputStr];
    
    return result;
}

- (NSString*)rsaEncryptString:(NSString*)string
{
    NSData *data = [string dataUsingEncoding:NSUTF8StringEncoding];
    NSData *encryptedData = [self rsaEncryptData: data];
    NSString* base64EncryptedString = [encryptedData base64EncodedStringWithOptions:0];;
    return base64EncryptedString;
}

- (void)loadPublicKeyFromFile:(NSString*)derFilePath
{
    NSData *derData = [[NSData alloc] initWithContentsOfFile:derFilePath];
    [self loadPublicKeyFromData: derData];
}

- (void)loadPublicKeyFromData:(NSData*)derData
{
    self.publicKey = [self getPublicKeyRefrenceFromeData:derData];
}

- (SecKeyRef)getPublicKeyRefrenceFromeData:(NSData*)derData
{
    SecCertificateRef myCertificate = SecCertificateCreateWithData(kCFAllocatorDefault, (__bridge CFDataRef)derData);
    SecPolicyRef myPolicy = SecPolicyCreateBasicX509();
    SecTrustRef myTrust;
    OSStatus status = SecTrustCreateWithCertificates(myCertificate,myPolicy,&myTrust);
    SecTrustResultType trustResult;
    if (status == noErr) {
        status = SecTrustEvaluate(myTrust, &trustResult);
    }
    SecKeyRef securityKey = SecTrustCopyPublicKey(myTrust);
    CFRelease(myCertificate);
    CFRelease(myPolicy);
    CFRelease(myTrust);
    
    return securityKey;
}

// 加密的大小受限于SecKeyEncrypt函數(shù)，SecKeyEncrypt要求明文和密鑰的長(zhǎng)度一致，如果要加密更長(zhǎng)的內(nèi)容，需要把內(nèi)容按密鑰長(zhǎng)度分成多份，然后多次調(diào)用SecKeyEncrypt來實(shí)現(xiàn)

- (NSData *)rsaEncryptData:(NSData*)data
{
    SecKeyRef key = self.publicKey;
    size_t cipherBufferSize = SecKeyGetBlockSize(key);
    uint8_t *cipherBuffer = malloc(cipherBufferSize * sizeof(uint8_t));
    size_t blockSize = cipherBufferSize - 11;       // 分段加密
    size_t blockCount = (size_t)ceil([data length] / (double)blockSize);
    NSMutableData *encryptedData = [[NSMutableData alloc] init] ;
    for (int i=0; i<blockCount; i++) {
        unsigned long bufferSize = MIN(blockSize,[data length] - i * blockSize);
        NSData *buffer = [data subdataWithRange:NSMakeRange(i * blockSize, bufferSize)];
        OSStatus status = SecKeyEncrypt(key, kSecPaddingPKCS1, (const uint8_t *)[buffer bytes], [buffer length], cipherBuffer, &cipherBufferSize);
        if (status == noErr){
            NSData *encryptedBytes = [[NSData alloc] initWithBytes:(const void *)cipherBuffer length:cipherBufferSize];
            [encryptedData appendData:encryptedBytes];
        }
        else{
            if (cipherBuffer) {
                free(cipherBuffer);
            }
            return nil;
        }
    }
    if (cipherBuffer){
        free(cipherBuffer);
    }
    return encryptedData;
}

//解密

- (NSString *)beginDecryptWithStr:(NSString *)encryptStr
{
    self.isEncode = YES;
    
    [self loadPrivateKeyFromFile:@"/Users/lily/Desktop/RSA/private_key.p12" password:@"123456"];
    
    return [self rsaDecryptString:self.encryptStr];
}

- (void)loadPrivateKeyFromFile:(NSString*)p12FilePath password:(NSString*)p12Password
{
    NSData *p12Data = [NSData dataWithContentsOfFile:p12FilePath];
    [self loadPrivateKeyFromData: p12Data password:p12Password];
}

- (void)loadPrivateKeyFromData:(NSData*)p12Data password:(NSString*)p12Password
{
    self.privateKey = [self getPrivateKeyRefrenceFromData: p12Data password: p12Password];
}

- (SecKeyRef)getPrivateKeyRefrenceFromData:(NSData*)p12Data password:(NSString*)password
{
    SecKeyRef privateKeyRef = NULL;
    NSMutableDictionary * options = [[NSMutableDictionary alloc] init];
    [options setObject: password forKey:(__bridge id)kSecImportExportPassphrase];
    CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
    OSStatus securityError = SecPKCS12Import((__bridge CFDataRef) p12Data, (__bridge CFDictionaryRef)options, &items);
    if (securityError == noErr && CFArrayGetCount(items) > 0) {
        CFDictionaryRef identityDict = CFArrayGetValueAtIndex(items, 0);
        SecIdentityRef identityApp = (SecIdentityRef)CFDictionaryGetValue(identityDict, kSecImportItemIdentity);
        securityError = SecIdentityCopyPrivateKey(identityApp, &privateKeyRef);
        if (securityError != noErr) {
            privateKeyRef = NULL;
        }
    }
    if (items) CFRelease(items);
    
    return privateKeyRef;
}

- (NSString *)rsaDecryptString:(NSString*)string
{
    NSData* data = [[NSData alloc] initWithBase64EncodedString:string options:NSDataBase64DecodingIgnoreUnknownCharacters];
    NSData* decryptData = [self rsaDecryptData: data];
    NSString* result = [[NSString alloc] initWithData: decryptData encoding:NSUTF8StringEncoding];
    return result;
}

- (NSData *)rsaDecryptData:(NSData*)data
{
    SecKeyRef keyRef = self.privateKey;
    
    const uint8_t *srcbuf = (const uint8_t *)[data bytes];
    size_t srclen = (size_t)data.length;
    
    size_t block_size = SecKeyGetBlockSize(keyRef) * sizeof(uint8_t);
    UInt8 *outbuf = malloc(block_size);
    size_t src_block_size = block_size;
    
    NSMutableData *ret = [[NSMutableData alloc] init];
    for(int idx = 0; idx < srclen; idx += src_block_size){
        
        size_t data_len = srclen - idx;
        if(data_len > src_block_size){
            data_len = src_block_size;
        }
        
        size_t outlen = block_size;
        OSStatus status = SecKeyDecrypt(keyRef, kSecPaddingNone, srcbuf + idx, data_len, outbuf, &outlen);
        if (status == noErr) {
            int idxFirstZero = -1;
            int idxNextZero = (int)outlen;
            for ( int i = 0; i < outlen; i++ ) {
                if ( outbuf[i] == 0 ) {
                    if ( idxFirstZero < 0 ) {
                        idxFirstZero = i;
                    }
                    else {
                        idxNextZero = i;
                        break;
                    }
                }
            }
            [ret appendBytes:&outbuf[idxFirstZero+1] length:idxNextZero-idxFirstZero-1];
        }
        else {
            if (outbuf)
                free(outbuf);
            return nil;
        }
    }
    if (outbuf)
        free(outbuf);
    return ret;
}

@end

參考文章

1. RSA IOS和Java
2. 通過ios實(shí)現(xiàn)RSA加密和解密
3. iOS中使用RSA對(duì)數(shù)據(jù)進(jìn)行加密解密

后記

未完，待續(xù)~~

秋