对称密钥

对称加密简介

采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密。这种加密方法称为对称加密，也称为单密钥加密。
对加密和解密使用相同密钥的加密算法，其运算速度非常快，对称加密通常在消息发送方需要加密大量数据时使用。

常用对称加密算法

• DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合；

• 3DES（Triple DES）：是基于DES，对一块数据用三个不同的密钥进行三次加密，其强度更高；

• AES（Advanced Encryption Standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高，支持128、192、256、512位密钥的加密；

对称加密算法特点：

• 加密方和解密方使用的是同一个密钥
• 加密解密的速度比较快，适合数据量比较大的情况
• 密钥传输的过程不安全，且容易被破解，因此密钥管理比较麻烦

应用模式：

• ECB（Electronic Code Book）：电子密码本模式。它是最基本的加密模式，也是通常理解的加密，相同的明文将永远加密成相同的密文，无初始向量，容易受到密码本重放攻击，一般情况下很少用。

• CBC（Cipher Block Chaining）：密码分组链接模式。明文被加密前要与前面的密文进行异或运算后再加密，因此只要选择不同的初始微量，相同的密文加密后会形成不同的密文，这是目前应用最广泛的模式。CBC加密后的密文是上下文相关的，但明文的错误不会传递到后续分组，如果一个分组丢失，后面的分组将全部作废（同步错误）。

• CFB（Cipher Feedback Mode）：加密反馈模式。类似于自同步序列密码，分组加密后，按8位分组将密文和明文进行移位异或后得到输出同时反馈回移位寄存器，优点是最小可以按字节进行加解密，也可以是n位的。CFB也是上下文相关的，CFB模式下，明文的一个错误会影响后面的密文（错误扩散）

• OFB（Output Feedback Mode）：输出反馈模式。将分组密码作为同步序列密码运行，和CFB相似，不过OFB用的是前一个n们密文输出分组反馈回移位寄存器，OFB没有错误扩散问题。

对称加密的优缺点

• 优点
  对称加密算法的优点是：算法公开、计算量小、加密速度快、加密效率高。

• 缺点
  由于加解密使用同一密钥，则密钥的保存尤为重要，如果一方的密钥被泄漏，那加密的信息也不安全。

终端演示对称加密

• 使用DES加密，模式使用ECB

echo -n hello | openssl enc -des-ecb -K 616263 -nosalt | base64

//加密结果
HQr0Oij2kbo=

以下是对上述加密代码的释义：

1. echo -n hello：不换行的标准输出 hello 字符串
2. openssl enc：使用openssl 进行数据加密，加密的数据就是 hello 字符串
3. -des-ecb：加密方式为 DES，加密模式为 ECB
4. -K 616263：加密的密钥为0x61 0x62 0x63（abc）
5. -nosalt：openssl命令，默认随机加盐，通过-nosalt参数，取消该策略
6. base64：由于加密后的数据是二进制的，通过base64使其显示成可视字符串

• 使用DES解密，模式使用ECB

echo -n HQr0Oij2kbo= | base64 -D | openssl enc -d -des-ecb -K 616263 -nosalt

//解密结果：注意%为占位符，并不是原字符串内容
hello%

释义：

1. echo -n HQr0Oij2kbo= | base64 -D：由于前面加密后的数据是进行了base64编码，因此首先需要做的是对字符串进行base64解码。
2. openssl enc -d：表示当前操作是解密，-e表示加密操作，默认为加密操作
3. -des-ecb：加密方式为 DES，加密模式为 ECB
4. -K 616263：加密的密钥为0x61 0x62 0x63（abc）
5. -nosalt：openssl命令，默认随机加盐，通过-nosalt参数，取消该策略

• 使用DES加密，模式使用CBC

//加密 hello
echo -n hello | openssl enc -des-cbc -K 616263 -nosalt -iv 0102030405060708 | base64

//加密结果
alvrvb3Gz88=

• 使用DES解密，模式使用CBC

//解密 alvrvb3Gz88= 得到原字符串 hello
echo -n alvrvb3Gz88= | base64 -D | openssl enc -des-cbc -K 616263 -nosalt -iv 0102030405060708 -d

//解密结果
hello%

• 使用AES加密，模式使用ECB

//加密 hello
echo -n hello | openssl enc -aes-128-ecb -K 616263 -nosalt | base64

//加密结果
d1QG4T2tivoi0Kiu3NEmZQ==

• 使用AES解密，模式使用ECB

//解密 d1QG4T2tivoi0Kiu3NEmZQ== 得到结果 hello
echo -n d1QG4T2tivoi0Kiu3NEmZQ== | base64 -D | openssl enc -aes-128-ecb -K 616263 -nosalt -d

//解密结果
hello%

• 使用AES加密，模式使用CBC

//加密 hello
echo -n hello | openssl enc -aes-128-cbc -K 616263 -nosalt -iv 0102030405060708 | base64

//加密结果
u3W/N816uzFpcg6pZ+kbdg==

• 使用AES解密，模式使用CBC

//解密 u3W/N816uzFpcg6pZ+kbdg== 得到结果 hello
echo -n u3W/N816uzFpcg6pZ+kbdg== | base64 -D | openssl enc -aes-128-cbc -K 616263 -nosalt -iv 0102030405060708 -d

//解密结果
hello%

OC代码演示对称加密

封装EncryptionTools加密库，提供以下方法

#import <Foundation/Foundation.h>
#import <CommonCrypto/CommonCrypto.h>

@interface EncryptionTools : NSObject
   
+ (instancetype)sharedEncryptionTools;
   
/**
    @constant   kCCAlgorithmAES     高级加密标准，128位(默认)
    @constant   kCCAlgorithmDES     数据加密标准
*/
@property (nonatomic, assign) uint32_t algorithm;
   
//加密字符串并返回base64编码字符串
- (NSString *)encryptString:(NSString *)string keyString:(NSString *)keyString iv:(NSData *)iv;

//解密字符串
- (NSString *)decryptString:(NSString *)string keyString:(NSString *)keyString iv:(NSData *)iv;
   
@end

• DES加密，ECB模式

- (void)testDES_ECB:(NSString*)pwd andKey:(NSString*)key{
    [EncryptionTools sharedEncryptionTools].algorithm = kCCAlgorithmDES;
    NSString * encStr = [[EncryptionTools sharedEncryptionTools] encryptString:pwd keyString:key iv:nil];
    NSLog(@"[DES_ECB]加密的结果是：%@",encStr);
    
    NSLog(@"[DES_ECB]解密的结果是：%@",[[EncryptionTools sharedEncryptionTools] decryptString:encStr keyString:key iv:nil]);
}

//结果
2021-04-22 15:58:01.344155+0800 EncryptDemo[43690:24153812] [DES_ECB]加密的结果是：HQr0Oij2kbo=
2021-04-22 15:58:01.344437+0800 EncryptDemo[43690:24153812] [DES_ECB]解密的结果是：hello

• DES加密，CBC模式

- (void)testDES_CBC:(NSString*)pwd andKey:(NSString*)key andIv:(NSData*)iv{
    [EncryptionTools sharedEncryptionTools].algorithm = kCCAlgorithmDES;
    NSString * encStr = [[EncryptionTools sharedEncryptionTools] encryptString:pwd keyString:key iv:iv];
    NSLog(@"[DES_CBC]加密的结果是：%@",encStr);
    
    NSLog(@"[DES_CBC]解密的结果是：%@",[[EncryptionTools sharedEncryptionTools] decryptString:encStr keyString:key iv:iv]);
}

//结果
2021-04-22 15:58:01.344672+0800 EncryptDemo[43690:24153812] [DES_CBC]加密的结果是：alvrvb3Gz88=
2021-04-22 15:58:01.344877+0800 EncryptDemo[43690:24153812] [DES_CBC]解密的结果是：hello

• AES加密，ECB模式

- (void)testAES_ECB:(NSString*)pwd andKey:(NSString*)key{
    [EncryptionTools sharedEncryptionTools].algorithm = kCCAlgorithmAES;
    NSString * encStr = [[EncryptionTools sharedEncryptionTools] encryptString:pwd keyString:key iv:nil];
    NSLog(@"[AES_ECB]加密的结果是：%@",encStr);
    
    NSLog(@"[AES_ECB]解密的结果是：%@",[[EncryptionTools sharedEncryptionTools] decryptString:encStr keyString:key iv:nil]);
}

//结果
2021-04-22 15:58:01.345047+0800 EncryptDemo[43690:24153812] [AES_ECB]加密的结果是：d1QG4T2tivoi0Kiu3NEmZQ==
2021-04-22 15:58:01.345211+0800 EncryptDemo[43690:24153812] [AES_ECB]解密的结果是：hello

• AES加密，CBC模式

- (void)testAES_CBC:(NSString*)pwd andKey:(NSString*)key andIv:(NSData*)iv{
    [EncryptionTools sharedEncryptionTools].algorithm = kCCAlgorithmAES;
    NSString * encStr = [[EncryptionTools sharedEncryptionTools] encryptString:pwd keyString:key iv:iv];
    NSLog(@"[AES_CBC]加密的结果是：%@",encStr);
    
    NSLog(@"[AES_CBC]解密的结果是：%@",[[EncryptionTools sharedEncryptionTools] decryptString:encStr keyString:key iv:iv]);
}

//结果
2021-04-22 15:58:01.345395+0800 EncryptDemo[43690:24153812] [AES_CBC]加密的结果是：u3W/N816uzFpcg6pZ+kbdg==
2021-04-22 15:58:01.345557+0800 EncryptDemo[43690:24153812] [AES_CBC]解密的结果是：hello

CCCrypt函数

CCCrypt函数为系统提供的加解密函数。

CCCryptorStatus CCCrypt(
   CCOperation op,         /* kCCEncrypt, etc. */
   CCAlgorithm alg,        /* kCCAlgorithmAES128, etc. */
   CCOptions options,      /* kCCOptionPKCS7Padding, etc. */
   const void *key,
   size_t keyLength,
   const void *iv,         /* optional initialization vector */
   const void *dataIn,     /* optional per op and alg */
   size_t dataInLength,
   void *dataOut,          /* data RETURNED here */
   size_t dataOutAvailable,
   size_t *dataOutMoved)
   API_AVAILABLE(macos(10.4), iOS(2.0));

• 参数说明：
  1. op：加解密标志。kCCEncrypt加密、kCCDecrypt解密
  2. alg：加解密使用的算法标准
  3. options：加密选项ECB/CBC
  4. key：key的内存地址
  5. keyLength：key的长度
  6. iv：初始化向量，固定长度8字节
  7. dataIn：加密数据的内存地址
  8. dataInLength：加密的数据长度
  9. dataOut：密文的内存地址
  10. dataOutAvailable：密文需要的可用空间大小，数据缓冲区的大小（字节）
  11. dataOutMoved：操作成功之后，被写入dataOut的字节长度。如果由于提供的缓冲区空间不足而返回kCCBufferTooSmall，则在这里返回所需的缓冲区空间
• 加解密使用的算法标准

enum {
   kCCAlgorithmAES128 = 0, /* Deprecated, name phased out due to ambiguity with key size */
   kCCAlgorithmAES = 0,
   kCCAlgorithmDES,
   kCCAlgorithm3DES,
   kCCAlgorithmCAST,
   kCCAlgorithmRC4,
   kCCAlgorithmRC2,
   kCCAlgorithmBlowfish
};

• 初始化向量iv，在CBC模式下才需要

注意：CCCrypt函数为系统函数，它可以通过符号断点的方式，将其第七个参数截获，从而破解出待加密的数据，这是不安全的。

对称算法简单使用案例请前往Demo