Ⅰ OpenSSL 入门:密码学基础知识
本文是使用 OpenSSL 的密码学基础知识的两篇文章中的第一篇,OpenSSL 是在 linux 和其他系统上流行的生产级库和工具包。(要安装 OpenSSL 的最新版本,请参阅 这里 。)OpenSSL 实用程序可在命令行使用,程序也可以调用 OpenSSL 库中的函数。本文的示例程序使用的是 C 语言,即 OpenSSL 库的源语言。
本系列的两篇文章涵盖了加密哈希、数字签名、加密和解密以及数字证书。你可以从 我的网站 的 ZIP 文件中找到这些代码和命令行示例。
让我们首先回顾一下 OpenSSL 名称中的 SSL。
安全套接字层 (Secure Socket Layer)(SSL)是 Netscape 在 1995 年发布的一种加密协议。该协议层可以位于 HTTP 之上,从而为 HTTPS 提供了 S: 安全(secure)。SSL 协议提供了各种安全服务,其中包括两项在 HTTPS 中至关重要的服务:
SSL 有多个版本(例如 SSLv2 和 SSLv3),并且在 1999 年出现了一个基于 SSLv3 的类似协议 传输层安全性(Transport Layer Security)(TLS)。TLSv1 和 SSLv3 相似,但不足以相互配合工作。不过,通常将 SSL/TLS 称为同一协议。例如,即使正在使用的是 TLS(而非 SSL),OpenSSL 函数也经常在名称中包含 SSL。此外,调用 OpenSSL 命令行实用程序以 openssl 开始。
除了 man 页面之外基腔,OpenSSL 的文档是零零散散的,鉴于 OpenSSL 工具包很大,这些页面很难以查找使用。命令行和代码示例可以将主要主题集中起来。让我们从一个熟悉的示例开始(使用 HTTPS 访问网站),然后使用该示例来选出我们感兴趣的加密部分进行讲述。
此处显示的 client 程序通过 HTTPS 连接到 Google:
可以从命令行编译和执行该程序(请注意 -lssl 和 -lcrypto 中的小写字母 L):
该程序尝试打开与网站 www.google.com 的安全连接。在与 Google Web 服务器的 TLS 握手过程中,client 程序会收到一个或多个数字证书,该程序会尝试对其进行验证(但在我的系统上失败了)。尽管如此,client 程序仍继续通过安全通道获取 Google 主页。该程序取决于前面提到的安全工件,尽管在上述代码中只着重突出了数字证书。但其它工件仍在幕后发挥作用,稍后将对它们进行详细说明。
通常,打开 HTTP(非安全)通道的 C 或 C++ 的客户端程序将使用诸如文件描述符或缺盯网络套接字之类的结构,它们是两个进程(例如,这个 client 程序和 Google Web 服务器)之间连接的端点。另一方面,文件描述符是一个非负整数值,用于在程序中标识该程序打开的任何文件类的结构。这样的程序还将使搏扮衫用一种结构来指定有关 Web 服务器地址的详细信息。
这些相对较低级别的结构不会出现在客户端程序中,因为 OpenSSL 库会将套接字基础设施和地址规范等封装在更高层面的安全结构中。其结果是一个简单的 API。下面首先看一下 client 程序示例中的安全性详细信息。
在与 Web 服务器握手期间,client 程序会接收一个或多个数字证书,以认证服务器的身份。但是,client 程序不会发送自己的证书,这意味着这个身份验证是单向的。(Web 服务器通常配置为 不 需要客户端证书)尽管对 Web 服务器证书的验证失败,但 client 程序仍通过了连接到 Web 服务器的安全通道继续获取 Google 主页。
为什么验证 Google 证书的尝试会失败?典型的 OpenSSL 安装目录为 /etc/ssl/certs,其中包含 ca-certificates.crt 文件。该目录和文件包含着 OpenSSL 自带的数字证书,以此构成 信任库(truststore)。可以根据需要更新信任库,尤其是可以包括新信任的证书,并删除不再受信任的证书。
client 程序从 Google Web 服务器收到了三个证书,但是我的计算机上的 OpenSSL 信任库并不包含完全匹配的证书。如目前所写,client 程序不会通过例如验证 Google 证书上的数字签名(一个用来证明该证书的签名)来解决此问题。如果该签名是受信任的,则包含该签名的证书也应受信任。尽管如此,client 程序仍继续获取页面,然后打印出 Google 的主页。下一节将更详细地介绍这些。
让我们从客户端示例中可见的安全工件(数字证书)开始,然后考虑其他安全工件如何与之相关。数字证书的主要格式标准是 X509,生产级的证书由诸如 Verisign 的 证书颁发机构(Certificate Authority)(CA)颁发。
数字证书中包含各种信息(例如,激活日期和失效日期以及所有者的域名),也包括发行者的身份和数字签名(这是加密过的加密哈希值)。证书还具有未加密的哈希值,用作其标识指纹。
哈希值来自将任意数量的二进制位映射到固定长度的摘要。这些位代表什么(会计报告、小说或数字电影)无关紧要。例如, 消息摘要版本 5(Message Digest version 5)(MD5)哈希算法将任意长度的输入位映射到 128 位哈希值,而 SHA1( 安全哈希算法版本 1(Secure Hash Algorithm version 1))算法将输入位映射到 160 位哈希值。不同的输入位会导致不同的(实际上在统计学上是唯一的)哈希值。下一篇文章将会进行更详细的介绍,并着重介绍什么使哈希函数具有加密功能。
数字证书的类型有所不同(例如根证书、中间证书和最终实体证书),并形成了反映这些证书类型的层次结构。顾名思义,根证书位于层次结构的顶部,其下的证书继承了根证书所具有的信任。OpenSSL 库和大多数现代编程语言都具有 X509 数据类型以及处理此类证书的函数。来自 Google 的证书具有 X509 格式,client 程序会检查该证书是否为 X509_V_OK。
X509 证书基于 公共密钥基础结构(public-key infrastructure)(PKI),其中包括的算法(RSA 是占主导地位的算法)用于生成密钥对:公共密钥及其配对的私有密钥。公钥是一种身份: Amazon 的公钥对其进行标识,而我的公钥对我进行标识。私钥应由其所有者负责保密。
成对出现的密钥具有标准用途。可以使用公钥对消息进行加密,然后可以使用同一个密钥对中的私钥对消息进行解密。私钥也可以用于对文档或其他电子工件(例如程序或电子邮件)进行签名,然后可以使用该对密钥中的公钥来验证签名。以下两个示例补充了一些细节。
在第一个示例中,Alice 将她的公钥分发给全世界,包括 Bob。然后,Bob 用 Alice 的公钥加密邮件,然后将加密的邮件发送给 Alice。用 Alice 的公钥加密的邮件将可以用她的私钥解密(假设是她自己的私钥),如下所示:
理论上可以在没有 Alice 的私钥的情况下解密消息,但在实际情况中,如果使用像 RSA 这样的加密密钥对系统,则在计算上做不到。
现在,第二个示例,请对文档签名以证明其真实性。签名算法使用密钥对中的私钥来处理要签名的文档的加密哈希:
假设 Alice 以数字方式签署了发送给 Bob 的合同。然后,Bob 可以使用 Alice 密钥对中的公钥来验证签名:
假若没有 Alice 的私钥,就无法轻松伪造 Alice 的签名:因此,Alice 有必要保密她的私钥。
在 client 程序中,除了数字证书以外,这些安全性都没有明确展示。下一篇文章使用使用 OpenSSL 实用程序和库函数的示例填充更多详细的信息。
同时,让我们看一下 OpenSSL 命令行实用程序:特别是在 TLS 握手期间检查来自 Web 服务器的证书的实用程序。调用 OpenSSL 实用程序可以使用 openssl 命令,然后添加参数和标志的组合以指定所需的操作。
看看以下命令:
该输出是组成 加密算法套件(cipher suite)()的相关算法的列表。下面是列表的开头,加了澄清首字母缩写词的注释:
下一条命令使用参数 s_client 将打开到 www.google.com 的安全连接,并在屏幕上显示有关此连接的所有信息:
诸如 Google 之类的主要网站通常会发送多个证书进行身份验证。
输出以有关 TLS 会话的摘要信息结尾,包括加密算法套件的详细信息:
client 程序中使用了协议 TLS 1.2,Session-ID 唯一地标识了 openssl 实用程序和 Google Web 服务器之间的连接。Cipher 条目可以按以下方式进行解析:
加密算法套件正在不断发展中。例如,不久前,Google 使用 RC4 流加密算法(RSA 的 Ron Rivest 后来开发的 Ron’s Cipher 版本 4)。 RC4 现在有已知的漏洞,这大概部分导致了 Google 转换为 AES128。
我们通过安全的 C Web 客户端和各种命令行示例对 OpenSSL 做了首次了解,使一些需要进一步阐明的主题脱颖而出。 下一篇文章会详细介绍 ,从加密散列开始,到对数字证书如何应对密钥分发挑战为结束的更全面讨论。
via: https://opensource.com/article/19/6/cryptography-basics-openssl-part-1
作者: Marty Kalin 选题: lujun9972 译者: wxy 校对: wxy
Ⅱ Linux里面openss-devel是什么
Redhat在封装openssl的时候,把openssl分成了几个部分,执行码部分就是 openssl-1.0.0-27.el6.x86_64 这种包。
openssl-devel-1.0.0-27.el6.x86_64 这个就是包含了头文件颂春,头文件参考,某些库文件等跟开发相关的东西。
mod_ssl-2.2.15-26.el6.x86_64 这个不是open ssl 本身的东西,是apache的模块。
你在http://www.openssl.org/source/上下载的源码编译安装后得到的东西就是openssl-1.0.0-27.el6.x86_64和openssl-devel-1.0.0-27.el6.x86_64这两个包加在一起的内容。
另外,OpenSSL是分系列的,每个系列下再分版本 a b c d e。。。。
目前常用的是 0.9.8 1.0.0 1.0.1 三个系列。
RHEL 6.4 是openssl 1.0.0 系列的版本。
RHEL 6.5 是 openssl 1.0.1 系列的版本。
Redhat 提供的openssl升级包的版本一般是 openssl-1.0.0-27.el6.X.x86_64.rpm 这种。 Redhat 会把OpenSSL发布的补丁整合到现有版本中去,叫做backport。
例如,RHEL 6.4 目前的最新的OpenSSL就是2014-06-05发布的 openssl-1.0.0-27.el6_4.4.x86_64.rpm 和 openssl-devel-1.0.0-27.el6_4.4.x86_64.rpm
RHEL 6.5 则是2014-08-13发布的 openssl-1.0.1e-16.el6_5.15.x86_64.rpm 和 openssl-devel-1.0.1e-16.el6_5.15.x86_64.rpm。
因为不同系列的OpenSSL,存在的安搏樱皮全漏洞或者BUG不一定基差相同,所以版本要根据系列来判断。
Ⅲ Linux数据加密和数字证书认证
图1
数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥春冲对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认埋此证。目前,证书的格式和验证方法普遍遵循X.509国际标准。
OpenSSL是一个开源项目,为传输层安全(TLS)和安全套接字层(SSL)协议提供了扒液歼强大的商业级和全功能工具包
1. OpenSSL的配置文件etc/pki/tls/openssl.cnf,下面有一些重要的配置,里面的一下目录和文件需要手动创建
Ⅳ Linux里面openssl作用是什么
主要是用来安全的。
openssl命令 – 加密算法
openSSL是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。对应的命令就是openssl命令,用于加密算法。《Linux就该这么学》
语法格式:openssl [参数]
举例子:
用SHA1算法计算文件file.txt的哈西值,输出到stdout:
# openssl dgst -sha1 file.txt
Ⅳ linux-openssl命令行
title: linux-openssl
date: 2020-09-16 11:02:15
categories:
{% note info %}
OpenSSL是一个健壮的、商业级的、功能齐全的开源工具包,用于传输层安全(TLS)协议,以前称为安全套接字层(Secure Sockets Layer, SSL)协议。协议实现基于全强度通用密码库,也可以单独使用。
openssl是一个功能丰富且自包含的开源安全工具箱。它提供的主要功能有:SSL协议实现(包括SSLv2、SSLv3和TLSv1)、大量软算法(对称/非对称/摘要)、大数运算、非对称算法密和枯钥生成、ASN.1编解码库、证书请求(PKCS10)编解码、数字证书编解码、CRL编解码、OCSP协议、数字证书验证、PKCS7标准唤困洞实现和PKCS12个人数字证书格式实现等功能。
<span style="color:red;">项目地址</span> <span style="color:red;">官方网址</span> <span style="color:red;">手册</span>
{% endnote %}
{% tabs configtab, 1 %}
对称算法使用一个密钥。给定一个明文和一个密钥,加密产生密文,其长度和明文大致相同。解密时,使用读密钥与加密密钥相同。
ECBCBCCFBOFB
摘要算法是一种能产生特殊输出格式的算法,这种算法的特点是:无论用户输入什么长度的原始数据,经过计算后输出的密文都是固定长度的,这种算法的原理是根据一定的运算规则对原数据进行某种形式的提取,这种提取就是摘要,被摘要的数据内容与原数据有密切联系,只要原数据稍有改变,输出的“摘要”便完全不同,因此,基于这种原理的算法便能对数据完整性提供较为健全的保障。但是,由于输出的密文是提取原数据经过处理的定长值,所以它已经不能还原为原数据,即消息摘要算法是不可逆的,理论上无法通过反向运算取得原数据内容,因此它通常只能被用来做数据完整性验证。
如今常用的“消息摘要”算法经历了多年验证发展而保留下来的算法已经不多,这其中包括MD2、MD4、MD5、SHA、SHA-1/256/383/512等。
常用的摘要算法主要有MD5和SHA1。MD5的输出结果为16字节,sha1的输出结果为20字节。
在公钥密码系统中,加密和解密使用的是不同的密钥,这两个密钥之间存在着相互依存关系:即用其中任一个密钥加密的信息只能用另一个密钥进行解密。这使得通信双方无需事先交换密钥就可进行保密通信。其中加密密钥和算法是对外公开的,人人都可以通过这个密钥加密文件然后发给收信者,这个加密密钥又称为公钥;而收信者收到加密文件后,它可以使用他的解密密钥解密,这个密钥是由他自己私人掌管的,并不需要分发,因此又成称为私钥,这就解决了密钥分发的问题。
主要的公钥算法有:RSA、DSA、DH和ECC。
Openssl中大量用到了回调函数。回调函数一般定义在数据结构中,是一个函数指针。通过回调函数,客户可以自行编写函数,让openssl函数来调用它,即用户调用openssl提供的函数,openssl函数再回调用户提供的函数。这样方便了尺判用户对openssl函数操作的控制。在openssl实现函数中,它一般会实现一个默认的函数来进行处理,如果用户不设置回调函数,则采用它默认的函数。
{% endtabs %}
Ⅵ 如何在Linux系统上加密
打开虚拟机,进入安装好的Linux系统,创建一个属于自己的目录,这里我创建的是test
在创建的目录中新建一个文件,名字为test.txt
在文件中输入“北京欢迎你”,然后保存
执行openssl加密命令
openssl enc -des-ede3-cbc -in test.txt -out JMtest.txt -k 12345678
查看生成的文件JMtest.txt,发现是乱码,说明已经加密成功
然后执行openssl的解密命令
openssl enc -des-ede3-cbc -in JMtest.txt -out test_after.txt -d -k 12345678
查看生成的文件test_after.txit,可以清楚的看到“北京欢迎你”,说明解密成功
Ⅶ linux tar 加密为什么要用openssl
将文件夹package打成tar包 package.tar.gz 并加密
密码是 password
tar czf – package | openssl des3 -salt -kpassword -out package.tar.gz
加密的tar包只能在Linux上解密,无法在Windows上使用。
解密tar包并且解压缩
openssl des3 -d -k password -salt -in package.tar.gz | tar xzf -
其中 -k password 可以不使用,这样执行完命令后会提示你输入,加上 -k参数可运用在程序中,这样可自动设置密码。
Ⅷ 如何在linux使用md5对其进行加密
这里以字符串123456为例子,它的md5密文值为:x0dx0a这里以1.txt为需要被加密的文件。x0dx0ax0dx0a一、用oppnsslmd5加密字符串和文件的方法。x0dx0a1.oppnsslmd5加密字符串的方法x0dx0aa.手动输入命令及过程如下:x0dx0a#openssl//在终端中输入openssl后回车。x0dx0aOpenSSL>md5//轮答输入md5后回车x0dx0a123456//接着输入123456,不要输入回车。然后按3次ctrl+d。x0dx0a123456//123456后面的就是密文了x0dx0a解释:为何在输入123456后不回车呢?x0dx0a是因为openssl默认会把回车符当做要加密的字符串中的一个字符,所以得到的结果不同。如果你输入123456后回车,在按2次ctrl+d。得到的结果是:x0dx0aOpenSSL>md5x0dx0a123456x0d//因为openssl不忽略回车符导致的x0dx0ab.或者直接用管道命令x0dx0a#echo-n123456|opensslmd5//必须要有-n参数,否则就不是这个结果了。x0dx0ax0dx0a解释:为何要加-n这个参数?x0dx0a-n就表示不输入回车符,这样才能得到正确的结果。如果你不加腊哗慧-n,那么结果和前面说的一样为:x0d//因为openssl不忽略回车符导致的x0dx0a2.用openssl加密文件。x0dx0a#opensslmd5-in1.txtx0dx0ax0dx0a##################################################3x0dx0aOpenssl其他相关加密的命令参数:引自:实用命令:利用openssl进行BASE64编码解码、md5/sha1摘要、AES/DES3加密解密收藏x0dx0a一.利用openssl命令进行BASE64编码解码(base64encode/decode)x0dx0a1.BASE64编码命令x0dx0a对字符串‘abc’进行base64编码:x0dx0a#echoabc|opensslbase64x0dx0aYWJjCg==(编码结果)x0dx0a如果对一个文件进行base64编码(文件名t.txt):x0dx0a#opensslbase64-int.txtx0dx0a2.BASE64解码命芦如令x0dx0a求base64后的字符串‘YWJjCg==’的原文:x0dx0a#echoYWJjCg==|opensslbase64-dx0dx0aabc(解码结果)x0dx0a如果对一个文件进行base64解码(文件名t.base64):x0dx0a#opensslbase64-d-int.base64x0dx0a二.利用openssl命令进行md5/sha1摘要(digest)x0dx0a1.对字符串‘abc’进行md5摘要计算:echoabc|opensslmd5x0dx0a若对某文件进行md5摘要计算:opensslmd5-int.txtx0dx0a2.对字符串‘abc’进行sha1摘要计算:echoabc|opensslsha1x0dx0a若对某文件进行sha1摘要计算:opensslsha1-int.txtx0dx0a三.利用openssl命令进行AES/DES3加密解密(AES/DES3encrypt/decrypt)x0dx0a对字符串‘abc’进行aes加密,使用密钥123,输出结果以base64编码格式给出:x0dx0a#echoabc|opensslaes-128-cbc-k123-/JA2dhN4mtiotwD7jt4g=(结果)x0dx0a对以上结果进行解密处理:x0dx0a#echoU2FsdGVkX18ynIbzARm15nG/JA2dhN4mtiotwD7jt4g=|opensslaes-128-cbc-d-k123-base64x0dx0aabc(结果)x0dx0a若要从文件里取原文(密文)进行加密(解密),只要指定-in参数指向文件名就可以了。x0dx0a进行des3加解密,只要把命令中的aes-128-cbc换成des3就可以了。x0dx0a注:只要利用opensslhelp就可以看到更多的安全算法了。x0dx0a###############################################x0dx0ax0dx0a二、利用php的md5函数加密字符串x0dx0a#toucha.php//创建a.php文件x0dx0a#via.php//用vi编辑a.php文件x0dx0a将输入进去后保存x0dx0a#phpa.php//运行a.php文件x0dx0a显示:x0dx0a三、利用md5sum命令x0dx0aA.在linux或Unix上,md5sum是用来计算和校验文件报文摘要的工具程序。一般来说,安装了Linux后,就会有md5sum这个工具,直接在命令行终端直接运行。可以用下面的命令来获取md5sum命令帮助manmd5sumx0dx0a#md5sum_helpx0dx0a有个提示:“WithnoFILE,orwhenFILEis-,readstandardinput.”翻译过来就是“如果没有输入文件选项或者文件选项为-,则从标砖读取输入内容”,即可以直接从键盘读取字符串来加密。x0dx0a利用md5sum加密字符串的方法x0dx0a#md5sum//然后回车x0dx0a123456//输入123456.然后按两次ctrl+d.x0dx0a显示:x0dx0a123456红色代表加密后的值x0dx0a还可以用管道命令:x0dx0a#echo-n�'|md5sumx0dx0ax0dx0a或者写成md5加密脚本,名字叫md5.sh,x0dx0a将以下内容复制进脚本里:x0dx0a#!/bin/bashx0dx0aecho-n$1|md5sum|awk'{print$1}'x0dx0ax0dx0a保存后,给脚本执行权限。x0dx0a#shmd5.sh123456x0dx0a显示:x0dx0aB.其实也可以将文本放入文本文件,然后用md5sum加密改文本,也可以得到字符串加密的值。过程如下:x0dx0a#toucha.txtx0dx0a#echo-n123456>a.txt//将123456写进文本文件,不能丢了_n参数,避免回车符干扰x0dx0a#md5suma.txtx0dx0a显示:a.txtx0dx0ax0dx0actrl+d有两个含义:x0dx0a一是向程序发送文件输入结束符EOF。x0dx0a二是向程序发送exit退出指令。程序收到信号后具体动作是结束输入、然后等待,还是直接退出,那就要看该程序捕获信号后是如何操作的了。x0dx0amd5sum属于第一个含义。两次strl+d了,第一次读取EOF指令,再次捕获就会当成exit指令。而shell一类的程序,会直接把ctrl+d解析为退出指令。
Ⅸ Linux-SSL和SSH和OpenSSH,OpenSSL有什么区别
1、SSL(Secure Sockets Layer 安全套接层),它提供使用 TCP/IP 的通信应用程序间的隐私与完整性。比如你访问https://servername 就是用了ssl协议,地址栏会出现小锁,双击就能查看ssl服务器证书的详细信息。TCP端口:443
2、SSH(Secure Shell 远程登陆用),安全可以和telnet比较一下,比如telnet传输用户密码是明文的,而SSH是加密的。明文的可以监听到。TCP端口22
3、OpenSSH是个SSH的软件,OpenSSH is the premier connectivity tool for remote login with the SSH protocol. linux/unix都用openssh软件提供SSH服务。简单来说,比如以前的Solaris系统默认不提供ssh服务,需要安装OpenSSH才行。
The OpenSSH suite consists of the following tools:
Remote operations are done using ssh, scp, and sftp.
Key management with ssh-add, ssh-keysign, ssh-keyscan, and ssh-keygen.
The service side consists of sshd, sftp-server, and ssh-agent.
4、OpenSSL是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序。比如很多程序安装依赖openssl头文件。
openssl命令也是一个很实用且有很多参数的工具。比如申请ssl证书时候或者计算hash值时候都用的到。例如:
a)openssl md5 a.txt
b)echo -n 123456 |openssl md5
c)openssl创建localhost证书
d)使用openssl命令加密文件
e)验证ssl服务器
openssl s_client -connect servername:443
Ⅹ linux中用脚本创建非root用户,要脚本中配制非root用户的密码,如何用openssl对密码加密
openssl是可以加解密,但是你的要求是创建用户并输入密码,据我所知,linux的passwd命令好象只能用键盘交互,没法用脚本预设的。
有个可用的办法是:用useradd命令创建完用户后,再用脚本修改/etc/shadow(这个文件是真正存放用户密码的地方)里的密码段,这个密码段是用hash算法加密的,好象是sha256还是sha512之类的吧,例如'000000',加密后是$6$7z4nJy/C69Wj$A65GjO61mBtErCbGNxIt1IUumPs/YUmeu1Zb7jElxNU/5TNmIDNx/
/etc/shadow的权限只有root用户可以修改,因此这个脚本要由root来执行。