CTR 计数器模式
计数器模式CTR是分组密码模式中的一种。通过将逐次累加的计数器进行加密来生成密钥流的流密码。每次加密时会生成一个不同的值来作为计数器的初始值。
- 可以事先进行加密、解密的准备。
- 加密、解密使用相同结构。
- 对包含某些错误比特的密文进行解密时,只有明文中响应的比特会出错。
- 加密和解密均支持并行运算。可以以任意顺序对分组进行加密和解密。
在CTR模式基础上添加认证功能的模式称为GCM模式。生成密文的同时生成用于认证的信息。用于识别主动攻击者发送的伪造的密文。
混合密码系统
混合密码系统能够解决对称密码密钥分配的问题和公钥密码速度慢的问题。使用快速的对称密码来对消息进行加密,再使用公钥密码对对称密码的密钥进行加密,由于对称密码的密钥一般比消息本身要短,因此可以忽略公钥密码速度慢的问题。
会话密钥是对称密码的密钥,同时也是公钥密码的明文。
一个问题
由于会话密钥已经通过公钥密码进行加密,因此会话密钥的长度较短也没有问题。
错!当会话密钥长度较短,当攻击者已知加密方式、分组密码模式的情况下可以通过 brute-force 暴力破解组合消息的后半段部分。增加风险。
RSA-OAEP 最优非对称加密填充
RSA-OAEP 是RSA的改良算法,在加密时会在明文前面填充一些认证信息,包括明文散列值以及一定数量的0。
RSA-OEAP 最大的优点是认证信息。好处是可以防御选择密文攻击(攻击者将任意密文发送给服务器,服务器发送解密提示),服务器可以固定返回错误消息decryption error,而不是将具体的错误内容告知攻击者。
ciphertext, err := rsa.EncryptOAEP(sha256.New(), rand.Reader, &key, []byte(secretMessage), label)
sha256是我们选择的单向散列函数。至于为什么需要rand.Reader,这是OAEP算法需要的,通过随机数使得每次生成的密文呈现不同的排列方式,进一步提高安全性。key 是接收人的公钥。[]byte(secretMessage)是加密信息的字节表现形式。label用于给公钥添加标签,不会被加密。
如果公钥标签不同,假设我们修改下文的RSA_OAEP_Encrypt 、RSA_OAEP_Decrypt 函数中的 label := []byte("标签")。那么当两个函数各自label不同时,会发生如下错误。根据官方文档,如果给定的公钥用于加密两种类型的消息,则可以使用不同的标签值来确保攻击者不能将用于一种目的的密文用于另一种目的。如果不需要,它可以是空的。
crypto/rsa: decryption error
panic: crypto/rsa: decryption error
goroutine 1 [running]:
main.CheckError({0x10092e0, 0xc0000603d0})
C:/Users/小能喵喵喵/Desktop/Go/Cryptography/HybridCryptoSystem/rsa_crypto.go:14 +0x9d
main.RSA_OAEP_Decrypt(0xc00031a4e0?, {0xc00031a4e0?, 0xfe8637?})
C:/Users/小能喵喵喵/Desktop/Go/Cryptography/HybridCryptoSystem/rsa_crypto.go:37 +0x134
main.hybridDecrypt(0x1009360?, {0xc000316fc0?, 0xfe2c44?})
C:/Users/小能喵喵喵/Desktop/Go/Cryptography/HybridCryptoSystem/main.go:56 +0xbd
main.main()
C:/Users/小能喵喵喵/Desktop/Go/Cryptography/HybridCryptoSystem/main.go:35 +0x2dc
exit status 2
任何拥有密文签名、密文消息和公钥的人都可以使用 RSA 验证来确保消息确实来自颁发公钥的一方。如果数据或签名不匹配,则验证过程失败。只有拥有私钥的一方才能签署消息,但拥有公钥的任何人都可以验证它。
msg := []byte("verifiable message")
//在签名之前,我们需要对我们的消息进行哈希处理
msgHash := sha256.New()
_, err = msgHash.Write(msg)
if err != nil {
panic(err)
}
msgHashSum := msgHash.Sum(nil)
//为了生成签名,我们提供了一个随机数生成器,我们的私钥,我们使用的散列算法和消息的散列信息
signature, err := rsa.SignPSS(rand.Reader, privateKey, crypto.SHA256, msgHashSum, nil)
if err != nil {
panic(err)
}
//为了验证签名,我们提供了公钥,散列算法,我们消息的哈希和和我们之前生成的签名
//有一个可选的"选项"参数,现在可以省略
err = rsa.VerifyPSS(&publicKey, crypto.SHA256, msgHashSum, signature, nil)
if err != nil {
fmt.Println("could not verify signature: ", err)
return
}
//如果我们没有从 `VerifyPSS` 方法中得到任何错误,这意味着我们的签名有效
fmt.Println("signature verified")
代码
aes_crypto.go
package main
import (
"crypto/aes"
"crypto/cipher"
"crypto/rand"
"encoding/base64"
"errors"
"io"
)
// ^ 生成会话密钥
func AES_Key_Generator() []byte {
var key []byte = make([]byte, 32)
_, err := io.ReadFull(rand.Reader, key)
CheckError(err)
return key
}
func AES_Encrypt(key []byte, message string) (encoded string, err error) {
//从输入字符串创建字节切片
plainText := []byte(message)
//使用密钥创建新的 AES 密码
block, err := aes.NewCipher(key)
//如果 NewCipher 失败,退出:
CheckError(err)
// ^ 使密文成为大小为 BlockSize + 消息长度的字节切片,这样传值后修改不会更改底层数组
cip