本文共 1883 字，大约阅读时间需要 6 分钟。

加密、解密技术简介及OpenSSL应用详解

一、加密、解密技术简介

现在的加密/解密技术主要有三种：对称加密、非对称加密和单向加密。它们三者各有优缺点，常用于电子商务中的数据安全保护。

对称加密

对称加密是指加密和解密使用相同的密钥。其特性是加密/解密使用同一口令，将原文分割成固定大小的数据块进行加密。对称加密的优点是加密效率高、计算量小，速度快。然而，其缺点在于密钥的传输安全性较低，容易被中间人截获。

常见的对称加密算法包括DES、AES等。其中，AES（高级加密标准）是目前较为常用的算法，支持128、192和256位密钥长度。

非对称加密

非对称加密解决了对称加密的缺陷，使用不同的公钥和私钥进行加密和解密。常见的非对称加密算法有RSA、DSA等。RSA不仅可以用于加密解密，还可用于实现用户认证，而DSA主要用于数字签名。

非对称加密的长度通常为512、1024、2048位，2048位是最常用的长度。

单向加密

单向加密是一种单向函数，输出结果对输入数据变化极其敏感，称为雪崩效应。常用的单向加密算法有MD5、SHA1等，其输出长度固定，用于数据完整性校验。

二、OpenSSL使用详解

OpenSSL是一个强大的安全套接字层密码库，广泛应用于网络安全领域。它包含三个主要套件：libcrypto（通用功能库）、libssl（SSL协议库）和OpenSSL（多功能命令行工具）。

OpenSSL的基本功能

OpenSSL的目录结构围绕三个套件功能部分进行规划。它支持对称加密、非对称加密、单向加密等功能，并可作为简单的证书颁发机构（CA）。

OpenSSL的常用功能

• 对称加密：支持DES、3DES、AES等算法，常用工具包括gpg、openssl enc。
• 非对称加密：支持RSA、DSA等算法，常用工具包括gpg、openssl rsautl。
• 单向加密：支持MD5、SHA1等算法，常用工具包括sha1sum、md5sum、cksum、openssl dgst。

OpenSSL命令行工具示例

对称加密示例

[root@gmq tmp]# openssl enc -des3 -a -salt -in /path/to/input_file -out /path/to/cipher_file[root@gmq tmp]# openssl enc -d -des3 -a -salt -in /path/to/cipher_file -out /path/to/clear_file

单向加密示例

[root@gmq tmp]# openssl dgst -sha1 /etc/fstab[root@gmq tmp]# openssl dgst -md5 /etc/fstab

公钥加密与数字签名

公钥加密用于实现密钥交换和身份认证，常用算法包括RSA、ECDSA等。数字签名则是基于私钥加密的技术，用于数据完整性校验和身份验证。

三、OpenSSL实现私有CA

私有CA的配置与使用

私有CA的配置文件通常位于/etc/pki/tls/openssl.cnf。以下是私有CA的基本操作步骤：

umask 077; openssl genrsa -out private/cakey.pem 2048

openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

openssl req -new -key httpd.key -out httpd.csr

openssl ca -in httpd.csr -out httpd.crt -days 3655

openssl x509 -in httpd.crt -add_extensions some_extension -out httpd.pem

openssl ca -revoke httpd.crt

私有CA的注意事项

• 私钥和证书应存放在安全目录中，如 /etc/httpd/ssl/private/。
• 证书有效期应根据实际需求设置，过期后需及时吊销或 renew。

四、基本常识

• .key：私有密钥文件。
• .crt：证书文件。
• .csr：证书签名请求文件。
• .crl：证书吊销列表。
• .pem：用于导出和导入的证书文件格式。

常用证书协议包括x509v3和PKCS#10等。