Python的加密庫入門
加密你的數據并使確保安全。
密碼學俱樂部的一條規則是:永遠不要自己發明密碼系統。密碼學俱樂部的第二條規則是:永遠不要自己實現密碼系統:在現實世界中,在實現以及設計密碼系統階段都找到過許多漏洞。
Python 中的一個有用的基本加密庫就叫做 cryptography。它既是一個“安全”方面的基礎庫,也是一個“危險”層。“危險”層需要更加小心和相關的知識,并且使用它很容易出現安全漏洞。在這篇介紹性文章中,我們不會涵蓋“危險”層中的任何內容!
cryptography 庫中最有用的高級安全功能是一種 Fernet 實現。Fernet 是一種遵循實踐的加密緩沖區的標準。它不適用于非常大的文件,如千兆字節以上的文件,因為它要求你一次加載要加密或解密的內容到內存緩沖區中。
Fernet 支持對稱(即密鑰)加密方式*:加密和解密使用相同的密鑰,因此必須保持安全。
生成密鑰很簡單:
>>> k = fernet.Fernet.generate_key()>>> type(k)<class 'bytes'>
這些字節可以寫入有適當權限的文件,在安全的機器上。
有了密鑰后,加密也很容易:
>>> frn = fernet.Fernet(k)>>> encrypted = frn.encrypt(b"x marks the spot")>>> encrypted[:10]b'gAAAAABb1'
如果在你的機器上加密,你會看到略微不同的值。不僅因為(我希望)你生成了和我不同的密鑰,而且因為 Fernet 將要加密的值與一些隨機生成的緩沖區連接起來。這是我之前提到的“實踐”之一:它將阻止對手分辨哪些加密值是相同的,這有時是威脅重要部分。
解密同樣簡單:
>>> frn = fernet.Fernet(k)>>> frn.decrypt(encrypted)b'x marks the spot'
請注意,這僅加密和解密字節串。為了加密和解密文本串,通常需要對它們使用 UTF-8 進行編碼和解碼。
20 世紀中期密碼學最有趣的進展之一是公鑰加密。它可以在發布加密密鑰的同時而讓解密密鑰保持保密。例如,它可用于保存服務器使用的 API 密鑰:服務器是可以訪問解密密鑰的一方,但是任何人都可以保存公共加密密鑰。
雖然 cryptography 沒有任何支持公鑰加密的安全功能,但 PyNaCl 庫有。PyNaCl 封裝并提供了一些很好的方法來使用 Daniel J. Bernstein 發明的 NaCl 加密系統。
NaCl 始終同時加密和簽名或者同時解密和驗證簽名。這是一種防止基于可伸縮性的方法,其中黑客會修改加密值。
加密是使用公鑰完成的,而簽名是使用密鑰完成的:
>>> from nacl.public import PrivateKey, PublicKey, Box>>> source = PrivateKey.generate()>>> with open("target.pubkey", "rb") as fpin:... target_public_key = PublicKey(fpin.read())>>> enc_box = Box(source, target_public_key)>>> result = enc_box.encrypt(b"x marks the spot")>>> result[:4]b'\xe2\x1c0\xa4'
解密顛倒了角色:它需要私鑰進行解密,需要公鑰驗證簽名:
>>> from nacl.public import PrivateKey, PublicKey, Box>>> with open("source.pubkey", "rb") as fpin:... source_public_key = PublicKey(fpin.read())>>> with open("target.private_key", "rb") as fpin:... target = PrivateKey(fpin.read())>>> dec_box = Box(target, source_public_key)>>> dec_box.decrypt(result)b'x marks the spot'
PocketProtector 庫構建在 PyNaCl 之上,包含完整的密鑰管理方案。
