지난 기사에서는 대칭 및 비대칭 암호화에 대한 관련 이론적 지식을 배웠고 OpenSSL을 사용하여 대칭 암호화 작업을 수행하는 방법도 배웠습니다. 오늘은 한 단계 더 나아가 OpenSSL에서 비대칭 암호화가 어떻게 구현되는지 알아보겠습니다.
개인 키 생성
이전 학습을 통해 비대칭 암호화에는 각각 공개 키와 개인 키가 필요하다는 것을 알고 있습니다. 먼저 우리 측에 저장된 키인 개인 키를 생성해 보겠습니다. 개인키는 절대로 타인에게 양도할 수 없다는 점을 기억해주세요!
$config = array(
"private_key_bits" => 4096, // 指定应该使用多少位来生成私钥
);
$res = openssl_pkey_new($config); // 根据配置信息生成私钥
openssl_pkey_export($res, $privateKey); // 将一个密钥的可输出表示转换为字符串
var_dump($privateKey);
// -----BEGIN PRIVATE KEY-----
// MIIJQgIBADANBgkqhkiG9w0BAQEFAASCCSwwggkoAgEAAoICAQDFMLW+9t3fNX4C
// YBuV0ILSyPAdSYVXtE4CLv32OvNk9yQZgF2nL/ZuIbBGRcYo2Hf5B31doGrAFDGu
// NoTR+WA7CBjKROFr/+yValsMFIeiKNtttWMkmBciysDJoEoyd6wjDD+kcHQdoJVo
// ……
// -----END PRIVATE KEY-----구성 가능하고 선택적인 매개변수인 매개변수를 받는 매우 간단한 함수 openssl_pkey_new()입니다. 생성된 결과는 개인 키 핸들이므로 직접 읽을 수 없으므로 openssl_pkey_export()를 사용하여 출력 문자열을 추출합니다.
댓글 내용은 저희가 생성한 개인키 정보입니다. 개인키 정보는 일반적으로 상대적으로 크기가 크므로 다음 내용은 생략합니다.
공개 키 추출
다음 단계는 공개 키를 생성하는 것입니다. 실제로 공개 키는 개인 키에서 추출됩니다. 따라서 암호화와 복호화를 사용할 때 개인 키나 공개 키를 사용하여 서로 작동할 수 있습니다.
$publicKey = openssl_pkey_get_details($res); // 抽取公钥信息
var_dump($publicKey);
// array(4) {
// ["bits"]=>
// int(4096)
// ["key"]=>
// string(800) "-----BEGIN PUBLIC KEY-----
// MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAtOIImDdS0W0vAr5Ra1+E
// hR2AJwQQwxntYKgTku8EmJRBX2vU+x8th8W8SnoGiVM/sOItG0HIe4Egf1UxoZHt
// gI6r+jpAp7JbTN0sD/VTPDE09F21+hFGjIVBqrkcLPjuEbf7+tjmgAx8cG8WLGId
// G8Hsub70kRANKJe1bCXIBUggRFk0sQGllxA/hxiG5wANqHTrdpJgJba+ahSi2+4H
// UWnyCV1O3AaPyz6a12HNUsG4Eio/tWv/hOB9POt6nAqwPHuIbhp56i5bv1ijMJZM
// jwRen5f/kwdZ01Ig2fi0uBoTR2y/EEaus7xBYpF/gGzZ/uM7cNUXcDyG5YluM/4R
// MEv4msPMVGB72izItED+C6Cqftxl98iBFRDc+PISFbRSgOU/HsuBhKkM5SYzyi3I
// Ypaej25++qLPqcA+EDr3JNDhNZ0GOhofCRtPq4dsr7iLLLRnZ0TnhIYe9wAbmO49
// uthABNBkM54bG+omOfY4Bkn5n39CKpELbhIiXgOd+lA684XUS/2Aw3Dvelc9Gbag
// oIFvb/wljPYsd0Zmd64CXBpTWbfwXC8K4vCKvFLjytcz2Yp4T6fVjbLT5RA6u8su
// E0WwE4QTFNKhnM5OvfiMN+NMc3Y/esVfcin3eyvotdz4N6Tt45dkybkf6aQE3Scg
// E/JBLIEEA+gjGTveY4cNUiECAwEAAQ==
// -----END PUBLIC KEY-----
// "
// ["rsa"]=>
// ……
$publicKey = $publicKey['key'];openssl_pkey_get_details()를 사용하여 추출한 콘텐츠에는 많은 콘텐츠가 포함되어 있습니다. 하지만 우리에게 필요한 가장 중요한 것은 키 아래의 공개 키입니다.
다시 돌아가서 공개키와 개인키의 내용을 자세히 살펴보겠습니다. 우리가 신청한 HTTPS 인증서의 공개키와 개인키의 내용이 동일한지, 그것도 우리가 사용해 생성한 걸까요? 시스템의 openssl 명령줄이 이 시스템의 키 인증서와 동일합니까? 그 자체로는 동일하지만 시나리오에 따라 다르게 적용됩니다. 비대칭 암호화 키 외에도 HTTPS 인증서에는 CA 정보도 포함되어 있습니다. CA가 통과하지 못하면 브라우저도 인증서를 유효하지 않은 것으로 간주하므로 생성된 인증서를 HTTPS 인증서로 사용할 수 없습니다. 자체적으로 생성된 것들은 일반적으로 SSH 비밀번호 없는 로그인 또는 GitHub 비밀번호 없는 코드 웨어하우스 작업에 사용됩니다.
데이터 암호화 및 해독
자, 공개 키와 개인 키가 생성되었으면 가장 중요한 암호화 및 해독 작업을 수행해야 합니다.
$data = '测试非对称加密'; // 公钥加密数据 openssl_public_encrypt($data, $encrypted, $publicKey); var_dump($encrypted); // string(512) // 私钥解密数据 openssl_private_decrypt($encrypted, $decrypted, $privateKey); var_dump($decrypted); // string(21) "测试非对称加密"
여기에서는 가장 표준적인 공개 키 암호화와 개인 키 복호화를 사용하여 테스트합니다. 실제로 OpenSSL은 공개 키 암호화 및 암호 해독과 개인 키 암호화 및 암호 해독 기능을 제공합니다.
전 글의 그림처럼 상대방이 우리의 공개키를 획득한 후 데이터를 암호화하여 전송하고, 우리는 자신의 개인키로 데이터를 복호화하여 원본 텍스트를 획득합니다. 우리는 또한 상대방의 공개 키를 획득하고, 반환된 데이터를 암호화하여 상대방에게 전송할 수 있으며, 그러면 상대방은 자신의 개인 키를 사용하여 우리가 전달한 원본 데이터를 해독하고 얻을 수 있습니다.
그리고 HTTPS는 CA에서 발급한 인증서를 통해 공개 키를 얻습니다. 브라우저는 요청 데이터를 암호화하여 서버로 전송합니다. 서버도 동일한 원칙을 사용하여 브라우저 클라이언트에 암호문 데이터를 보냅니다. 따라서 데이터 전송 중에는 HTTPS를 사용하여 전송하는 것이 가로채더라도 상대방이 이를 해독하기 위해 인증서에서 제공한 키를 갖고 있지 않습니다. 이것이 바로 모든 앱과 미니 프로그램 애플리케이션이 이제 HTTPS를 사용해야 하는 이유입니다. 물론 웹사이트 개발을 한다면 HTTPS를 사용하는 것이 가장 좋습니다. Baidu도 이에 맞춰 HTTPS를 포함하도록 조정했습니다.
서명 및 검증
다음으로 서명의 개념에 대해 살펴보겠습니다. 두 끝이 통신할 때 현재 전송된 데이터가 다른 쪽 끝에서 전송되었음을 어떻게 알 수 있습니까? 이는 서명 메커니즘을 통해 확인할 수 있습니다.
// 利用私钥生成签名 openssl_sign($data, $signature, $privateKey, OPENSSL_ALGO_SHA256); var_dump($signature); // 公钥验证签名 $r = openssl_verify($data, $signature, $publicKey, OPENSSL_ALGO_SHA256); var_dump($r); // int(1)
openssl_sign()을 사용하여 원본 데이터에 대한 개인 키 서명을 생성한 다음 openssl_verify()를 사용하여 공개 키를 통해 데이터 서명이 일치하는지 확인할 수 있습니다.
사용하면 발신자가 자신의 개인 키를 통해 서명을 생성하므로 서명 내용이 왜곡되어 있으므로 이를 base64_encode()한 다음 암호화된 데이터와 함께 수신자에게 전달할 수 있습니다. 그런 다음 수신자는 공개 키를 사용하고 서명 내용을 기반으로 원본 데이터가 변조되었는지 확인합니다.
// 发送方签名 $resquestSign = base64_encode($signature); // 假设通过网络请求发送了数据 // …… // 接收到获得签名及原始数据 // $signature = $_POST['sign']; // openssl_private_decrypt($_POST['data'], $data, $privateKey); $responseSign = base64_decode($signature); // 验证数据有没有被篡改 $r = openssl_verify($data, $signature, $publicKey, OPENSSL_ALGO_SHA256); var_dump($r); // int(1) // 假设被篡改 $data = '我被修改了'; $r = openssl_verify($data, $signature, $publicKey, OPENSSL_ALGO_SHA256); var_dump($r); // int(0)
요약
오늘의 콘텐츠가 대칭 암호화보다 훨씬 복잡하다고 생각하시나요? 특히 새로 도입된 서명 개념은 실제로 인증서와 관련된 많은 내용이 데이터 서명과 관련되어 있습니다. 즉, HTTPS는 단순한 것으로 보입니다. 실제로 브라우저와 서버의 openssl은 단순히 CA에 가서 인증서 세트를 신청한 다음 구성하는 것 이상입니다. Nginx에서. 그럼 다음으로 배워볼 내용은 자격증 생성에 관한 내용입니다. 안전벨트를 매면 자동차는 계속해서 운행됩니다.
테스트 코드:
https://github.com/zhangyue0503/dev-blog/blob/master/php/202007/source/PHP%E7%9A%84OpenSSL%E5%8A%A0%E5%AF%86%E6%89%A9%E5%B1%95%E5%AD%A6%E4%B9%A0%EF%BC%88%E4%BA%8C%EF%BC%89%EF%BC%9A%E9%9D%9E%E5%AF%B9%E7%A7%B0%E5%8A%A0%E5%AF%86.php
推荐学习:php视频教程