加解密概念
对称加密
MD5加密
非对称加密RSA
测试开发工程师应用
为什么要加密解密?
加密:对信息进行加密可以保证信息在互联网上传输时不被人截获(能截获、但是由于加密看不白)
解密:服务器收到用户信息后,需要知道用户的真实信息,就需要把之前加密的内容进行解密操作。
如:禅道 登录抓包 百度登录抓包
对称加密算法又称传统加密算法。
加密和解密使用同一个密钥。加密解密过程:明文->密钥加密->密文,密文->密钥解密->明文
举例:
密钥:X
加密算法:每个字符+X
明文:Hello
密钥为 1时加密结果:Ifmmp
密钥为 2时加密结果:Jgnnq
对称加密注意事项:
密钥的保密工作非常重要
密钥要求定期更换
对称加密优缺点:
算法公开,计算量小,加密速度快,加密效率高
双方使用相同的钥匙,安全性得不到保证
经典加密算法有三种:
1. DES(Data Encryption Standard):数据加密标准(现在用的比较少,因为它的
加密强度不够,能够暴力破解)
2. 3DES:原理和DES几乎是一样的,只是使用3个密钥,对相同的数据执行三
次加密,增强加密强度。(缺点:要维护3个密钥,大大增加了维护成本)
3.AES(Advanced Encryption Standard):高级加密标准,目前美国国家安全局
使用的,苹果的钥匙串访问采用的就AES加密。是现在公认的最安全的加密方式,
是对称密钥加密中最流行的算法。
单密钥体制:
需要对加密和解密使用相同密钥的加密算法,由于其速度快,对称性加密通
常在消息发送方需要加密大量数据时使用,对称性加密也称为密钥加密。
所以对称加密体制不太安全,钥匙不能丢,一般用在后台加密,前端给密钥危险。
MD5加密的特点:
不可逆运算
对不同的数据加密的结果是定长的32位字符(不管文件多大都一样)
对相同的数据加密,得到的结果是一样的(也就是复制)。
抗修改性 : 信息“指纹”,对原数据进行任何改动,哪怕只修改一个字节,所得到的 MD5 值都有很大区别.
弱抗碰撞 : 已知原数据和其 MD5 值,想找到一个具有相同 MD5 值的数据(即伪造数据)是非常困难的.
强抗碰撞: 想找到两个不同数据,使他们具有相同的 MD5 值,是非常困难的
MD5 应用:
1、一致性验证:MD5将整个文件当做一个大文本信息,通过不可逆的字符串变换算法,产生一个唯一的MD5信息摘要,就像每个人都有自己独一无二的指纹,MD5对任何文件产生一个独一无二的数字指纹。该MD5加密不安全、很容易破解
2、可以加个“盐”试试,“盐”就是一串比较复杂的字符串。加盐的目的是加强加密的复杂度,这么破解起来就更加麻烦,当然这个“盐”越长越复杂,加密后破解起来就越麻烦。如果“盐”泄漏出去就不安全
3、只使用md5加密是不行的,很容易被破解。常见的做法有:先对原串进行一些处理,比如先给它拼接一个字符串常量,再进行md5加密。即使对方解密,也获取不到原串。(加盐过程)
使用多种加密算法。比如先用md5加密,再对加密的结果使用其它加密算法进行加密。比如先使用md5加密,对加密的结果再次使用md5加密。这2种方式方式经常一起使用。
非对称加密RSA
简介:
1.对称加密算法又称现代加密算法。
2. 非对称加密是计算机通信安全的基石,保证了加密数据不会被破解。
3. 非对称加密算法需要两个密钥:公开密钥(publickey) 和私有密(privatekey)
4. 公开密钥和私有密钥是一对
如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密。
如果用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。
特点:
算法强度复杂,安全性依赖于算法与密钥。 加密解密速度慢。
与对称加密算法的对比: 对称加密只有一种密钥并且是非公开的,如果要解密就得让对方知道密钥。
非对称加密有两种密钥,其中一个是公开的。
实例理解:
我有两把锁和两把对应的钥匙:
私钥A、私锁B
公锁A、公钥B
私钥A可以开公锁A,公钥B可以开私锁B
公锁A和公钥B放到了门外,所有人都可以拿
私钥A和私锁B,我自己藏着不让人知道
你也有两把锁和两把对应的钥匙:
私钥C、私锁D
公锁C、公钥D
公锁C和公钥D放到了门外,所有人都可以拿
私钥C和私锁D,你自己藏着不让人知道
为了给你传递消息,我拿了你的公锁C来锁住我的消息,这时只有你能用私
钥C来打开查看消息。为了让你知道这个消息是我发的,而不是别人发的,我拿
了自己的私锁B,又在外面加了锁。
消息到你那以后,你先拿我的公钥B打开了我的私锁B,然后就看到了用你的公
锁C锁住的消息,因为只有你自己有私钥C,所以只有你才能看到里面的消息。
轮到你给我发消息了,你先拿我的公锁A锁住了消息,保证只有我能看到消
息,然后为了证明消息是你发的,你就拿了你的私锁D在外面又加了一把锁,这
把锁大家可用你的私钥D来开。
我收到消息后,去拿你的公钥D开了你外面的私锁D,然后用我的私钥A开了里
面的公锁A,然后我就可以看到里面的消息了。
RSA加密算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作,RSA是被研究得最广泛的公钥算法,从提出到现今的三十多年里,经历了各种攻击的考验,逐渐为人们接受,截止2017年被普遍认为是最优秀的公钥方案之一。
1、算法本身不需要测试,因为黑客经过几十年都没破解过加密解密本身业务测试 == 比如 123 消息 发送 后台接收后是否能解密为123
2、一般加解密用 java c++等实现,不用python实现的原因是python加解密效率比较低,但python做自动化测试,接口测试、爬虫等非常方便
3、公司的加解密算法一般是一个 jar包,不需要测试人员自己写,公司用什么算
法,让开发把相应的jar包发给测试即可 一般名为 encrypt
python调用加解密工具包思路:
1、找到公司的加解密 源码、jar包 Encrypt ( .jks文件 )
2、方式一:调用java的源码、jar包去执行生成密文,然后复制给python需要的
地方使用(不好,用例不方便维护、手动做一个复制操作,没能实现自动化)
方式二:利用python调用java的源码、jar包去执行
学会:1、python如何执行java代码 2、如何把java源码打包成jar文件 3、应用Jpype 模块: 用来执行java代码的
Pip install jpype1