当前位置:物联沃-IOTWORD物联网 > 技术教程 > 使用 OpenSSL 和 Python 实现 AES-256-CBC 安全加密解密及密钥管理指南
代码收藏家代码收藏家 技术教程

使用 OpenSSL 和 Python 实现 AES-256-CBC 安全加密解密及密钥管理指南

环境

  • OpenSSL
  • Python

    • 使用 OpenSSL 加密

    1. 生成 AES 密钥和 IV

    强烈推荐使用方法一(Python secrets 模块),因为它更安全。

    方法一: Python 的 secrets 模块(安全方式)

  • 不要使用 OpenSSL 的 rand 命令直接生成密钥和 IV 用于生产环境。 尽管 openssl rand 可以生成随机数,但它可能不符合密码学安全的要求。

  • 推荐方法: 使用更安全的随机数生成器,例如 Python 的 secrets 模块:

    import secrets
import binascii

# 生成 256 位 AES 密钥(32 字节)
key = secrets.token_bytes(32)
key_hex = binascii.hexlify(key).decode()  # 转换为十六进制字符串

# 生成 128 位 IV(16 字节)
iv = secrets.token_bytes(16)
iv_hex = binascii.hexlify(iv).decode()  # 转换为十六进制字符串

print("AES Key (Hex):", key_hex)
print("IV (Hex):", iv_hex)

  • secrets.token_bytes(nbytes) 生成 nbytes 个密码学安全的随机字节。

  • binascii.hexlify(data) 将字节数据转换为十六进制字符串。

  • 保存: 将生成的密钥和 IV 安全地保存起来(例如,使用密码管理器)。

    • 方法二: 直接使用 OpenSSL 的 rand 命令(不推荐)
    openssl rand -hex 32  # 生成 256 位 AES 密钥(32 字节)
openssl rand -hex 16  # 生成 128 位 IV(16 字节)
  • openssl rand -hex <长度> 使用 OpenSSL 的随机数生成器生成指定长度的十六进制字符串。
  • 保存密钥和 IV: 将生成的密钥和 IV 安全地保存起来(例如,存储在密码管理器中)。

    • 2. 加密

    openssl enc -aes-256-cbc -pbkdf2 -iter 100000 -in plaintext.txt -out ciphertext.bin -K $(cat key.txt) -iv $(cat iv.txt)
  • -pbkdf2 使用 PBKDF2 密钥派生函数。
  • -iter 100000 设置迭代次数为 100000(建议至少 10000,可以根据需要调整)。
  • -K $(cat key.txt) 从文件 key.txt 中读取 AES 密钥(假设你已将密钥保存在 key.txt 文件中)。
  • -iv $(cat iv.txt) 从文件 iv.txt 中读取 IV(假设你已将 IV 保存在 iv.txt 文件中)。
  • 去掉了-salt: 当使用-pbkdf2的时候,不再需要-salt
  • 为什么要从文件中读取密钥和 IV?
  • 安全: 避免将密钥和 IV 直接写在命令行中,防止泄露(例如,通过命令行历史记录)。
  • 方便: 方便管理和重复使用密钥和 IV。

    • 3. Base64 编码

    将密文转换为文本格式(用于生成条形码),需要进行 Base64 编码:

    openssl base64 -in ciphertext.bin -out ciphertext.txt

    4. 生成条形码

  • 使用在线条形码生成器(如 https://barcode.tec-it.com/en)将 Base64 编码后的密文生成条形码图片。
  • 选择条形码类型(如 Code 128),将 Base64 编码后的密文粘贴到输入框中,生成条形码图片。

    • 安全传输密钥和密文

    1. 安全传输密钥:

  • 重要: 密钥和 IV 的安全至关重要!绝对不要通过不安全的渠道(如微信、邮件 💀)直接发送。
  • 安全方案:
  • 线下告知: 如果条件允许,线下口头告知或使用纸条传递。
  • 加密通信工具: 使用 Signal、Wire 等端到端加密的通信工具。
  • 密钥交换协议: 如果对密码学有一定了解,可以使用 Diffie-Hellman 等密钥交换协议。
  • 密钥文件: 可以将密钥和IV存放在一个文件中, 使用 GPG 加密后发送.

    • 2. 发送条形码:

  • 将生成的条形码图片通过微信等方式发送给你的朋友。这步可以用微信了。😇

    • 解密方式

    1. 解密

    openssl enc -d -aes-256-cbc -in ciphertext.bin -out plaintext.txt -K $(cat key.txt) -iv $(cat iv.txt) -pbkdf2 -iter 100000
  • 注意:
  • 解密命令与加密命令 基本相同,只是将 -enc 改为 -d(表示解密)。
  • -pbkdf2-iter 参数必须与加密时 完全一致
  • -K-iv 参数仍然从文件中读取密钥和 IV。

    • 2. Base64 解码

    openssl base64 -d -in ciphertext.txt -out ciphertext.bin

    完整的流程总结

    1. 生成强密钥和 IV:

    2. 使用 Python 的 secrets 模块。
    3. 将密钥和 IV 保存到安全的文件中(例如,key.txtiv.txt), 或者密码管理器中。

    4. 加密:

      openssl enc -aes-256-cbc -pbkdf2 -iter 100000 -in plaintext.txt -out ciphertext.bin -K $(cat key.txt) -iv $(cat iv.txt)

      openssl base64 -in ciphertext.bin -out ciphertext.txt

    5. 解密:

      openssl enc -d -aes-256-cbc -in ciphertext.bin -out plaintext.txt -K $(cat key.txt) -iv $(cat iv.txt) -pbkdf2 -iter 100000

      openssl base64 -d -in ciphertext.txt -out ciphertext.bin

    注意安全, HAVE FUN! 👀

    作者:dreadp

    物联沃分享整理
    物联沃-IOTWORD物联网 » 使用 OpenSSL 和 Python 实现 AES-256-CBC 安全加密解密及密钥管理指南

    代码收藏家 普通

    分享到:

    相关推荐

    发表回复