RSA适合密钥交换与签名,需用OAEP填充;AES-256-GCM为首选对称加密,含认证标签;密码存储须用scrypt/bcrypt加盐;哈希不可逆,禁用MD5/SHA1;典型流程:客户端AES加密数据后,用RSA公钥加密AES密钥并上传四元组。
RSA非对称加密:密钥生成与加解密实战
RSA适合做密钥交换或数字签名,不适合直接加密大量数据。实际使用中,通常用RSA加密一个随机生成的AES密钥,再用该AES密钥加密正文。
使用cryptography库(推荐,替代已弃用的pycrypto/pycryptodome)生成密钥对:
- 私钥保存需密码保护,建议用
PBKDF2HMAC派生密钥加密存储 - 公钥可安全分发,常以PEM格式导出:
public_key.public_bytes(Encoding.PEM, PublicFormat.SubjectPublicKeyInfo) - 加密时务必启用OAEP填充(
padding.OAEP),禁用不安全的PKCS#1 v1.5(除非兼容旧系统) - 示例:用公钥加密32字节AES密钥后,Base64编码传给接收方;接收方用私钥解出AES密钥,再解密业务数据
AES对称加密:安全模式与密钥管理要点
AES-256-GCM是当前首选——它同时提供机密性与完整性校验(AEAD)。不要手动拼接IV+密文再哈希,GCM自带认证标签(tag)。
- IV(nonce)必须唯一且不可预测,推荐用
os.urandom(12)生成12字节随机数(GCM标准长度) - 密钥绝不能硬编码或用简单字符串
encode()了事;应通过密钥派生函数(如Scrypt)从口令生成 - 加密后完整输出包含:nonce + ciphertext + tag(共三部分),解密时全部传入
decrypt() - 避免ECB模式(电子密码本),它会暴露明文模式;CBC需配合适当填充(如PKCS7)和HMAC校验,但不如GCM简洁安全
哈希算法选择与安全用法
哈希不是加密,不可逆。选型取决于用途:
- 密码存储:必须用慢哈希(
scrypt或bcrypt),并为每个密码加唯一盐值(salt);hashlib.sha256(password.encode()+salt)是严重错误 - 文件/数据完整性校验:可用
sha256或sha3-256,但注意传输时需防中间人篡改(建议配合签名或HTTPS) - 避免MD5、SHA1:已被证实存在碰撞漏洞,不应用于任何安全场景
- 敏感数据去标识化(如手机号脱敏):慎用哈希,因输入空间小易被彩虹表攻击;优先考虑带密钥的HMAC或加密
组合实践:一个安全的数据封装流程
典型场景:客户端上传敏感JSON数据,服务端安全存储并支持后续验证与解密。
- 步骤1:客户端生成随机AES-256-GCM密钥和nonce,加密JSON数据,得到密文+tag
- 步骤2:用服务端公钥加密该AES密钥(OAEP-SHA256),Base64编码
- 步骤3:将“加密后的AES密钥”、“AES nonce”、“AES密文”、“AES tag”四部分打包成JSON上传
- 步骤4:服务端用私钥解出AES密钥,再用完整四元组解密原始数据;必要时可对解密结果再计算
sha3_256存档留痕
不复杂但容易忽略。
