OpenSSL：開源專案

三個元件：

• openssl: 多用途的命令列工具，包openssl
• libcrypto: 加密演算法庫，包openssl-libs

[[email protected] data]# openssl-libs

• libssl：加密模組應用庫，實現了ssl及tls，包nss

[[email protected] data]# rpm -ql nss

openssl命令：

• 兩種執行模式：互動模式和批處理模式
• openssl version：程式版本號
• 標準命令、訊息摘要命令、加密命令
• 標準命令：
• enc, ca, req, ...

[[email protected]
 
 data]# rpm -ql openssl
/etc/pki/CA                
/etc/pki/CA/certs
/etc/pki/CA/crl
/etc/pki/CA/newcerts
/etc/pki/CA/private
usr/bin/openssl	

 openssl 命令支援對稱加密，非對稱加密解密等

用法：1、互動式

[[email protected]>08:52:30~]#openssl
OpenSSL> ?

openssl:Error: '?' is an invalid command.

2、非互動式

openssl + 命令 命令.....

openssl命令

對稱加密：

• 工具： openssl enc, gpg
• 演算法： 3des, aes, blowfish, twofish

enc命令：

• 幫助： man enc
• 加密：
• openssl enc -e -des3 -a -salt -in testfile
• -out testfile.cipher

解密：

• openssl enc -d -des3 -a -salt –in testfile.cipher
• -out testfile
• openssl ?

加密例子：

第一步：

[[email protected]>14:47:26/app]#openssl enc -e -des3 -a -salt -in fstab -out fstab.cip
enter des-ede3-cbc encryption password:
Verifying - enter des-ede3-cbc encryption password:
 

第二步：

[[email protected] data]# base64 -d test.cip

######使用base64 -d fstab.cip 編碼轉換成二進位制####

第三步：

解密

[[email protected] data]# openssl enc -d -des3 -a -salt -in test.cip -out test2

enter des-ede3-cbc decryption password:

openssl命令—雜湊演算法

單向加密：

• 工具： md5sum, sha1sum, sha224sum,sha256sum…
• openssl dgst

dgst命令：

• 幫助： man dgst
• openssl dgst -md5 [-hex預設] /PATH/SOMEFILE
• openssl dgst -md5 testfile
• md5sum /PATH/TO/SOMEFILE

例子：

md5sum test

[[email protected] data]# md5sum test
cf4676656ace92c1d8e1edf2f2ecbf6a  test

[[email protected] data]# openssl dgst -md5 test
MD5(test)= cf4676656ace92c1d8e1edf2f2ecbf6a

因為演算法一樣，所以得出的雜湊值也相同

openssl命令

生成使用者密碼：

• passwd命令:
• 幫助： man sslpasswd
• openssl passwd -1 -salt SALT(最多8位)
• openssl passwd -1 –salt centos

生成隨機數：

• 幫助： man sslrand
• openssl rand -base64|-hex NUM
• NUM: 表示位元組數； -hex時，每個字元為十六進位制，相當於4位二進位制，出現的字元數為NUM*2

man sslpasswd

例子：

openssl passwd

預設使用： -crypt加密

例子1、

[[email protected] data]# openssl passwd 
Password: 
Verifying - Password: 
NNiotT0rFp20E

例子2、 

[[email protected] data]# openssl passwd -1
Password: 
Verifying - Password: 
$1$NfgvMVBF$g/fovTmTnv5B2OUKJvFr21

例子3、

[[email protected] data]# openssl passwd -1 -salt centos
Password: 
$1$centos$Uq6E6Wp5SDZYbs6MCmamP0

生成隨機數

例子：openssl rand -base64 12

[[email protected] data]# openssl rand -base64 12
WdOrd0ZhcRlLAnJ+

base64編碼機制的詮釋

例子：echo "ab" |base64 2^6=64

[[email protected] data]# echo -n "ab" |base64
YWI=

64個字元表示系統中的二進位制數

A-Z------十進位制---->0—25

a--------z十進位制----->97------>1100001

b--------十進位制------->98------>1100010

       a                                   b

01100001                  01100010

       a                                   b

011000       01 0110      001000

    24Y             22W              I

0-9

+(62)

/ (63) 64個字元

[[email protected] data]# echo -n "abc" |base64 > abc.base64

[[email protected] data]# cat abc.base64 
YWJj

base64編碼本身不加密，可以使用base64  -d  反向解析成原始碼

[[email protected] data]# base64 -d abc.base64 
abc

隨機口令多少位：openssl rand -base64 24|tr -d '/+' |head -c12

生成隨機口令 ：cat /dev/urandom |tr -dc 'A-Za-z0-9' |head -c 12

[[email protected] data]# openssl rand -hex 10
21840dfde41df91375a6

openssl命令 對稱加密

openssl命令 對稱加密

公鑰加密：

• 演算法： RSA, ELGamal
• 工具： gpg, openssl rsautl（ man rsautl）

數字簽名：

• 演算法： RSA, DSA, ELGamal

金鑰交換：

• 演算法： dh
• DSA: Digital Signature Algorithm
• DSS： Digital Signature Standard
• RSA：

openssl命令 非對稱加密

生成金鑰對兒： man genrsa

生成私鑰

• openssl genrsa -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS
• (umask 077; openssl genrsa –out test.key –des 2048)
• openssl rsa -in test.key –out test2.key 將加密key解密

從私鑰中提取出公鑰

• openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE
• openssl rsa –in test.key –pubout –out test.key.pub

隨機數生成器：偽隨機數字

• 鍵盤和滑鼠，塊裝置中斷
• /dev/random：僅從熵池返回隨機數；隨機數用盡，阻塞
• /dev/urandom：從熵池返回隨機數；隨機數用盡，會利用軟體生成偽隨機

[[email protected] data]# cat /dev/random |tr -dc "A-Za-z0-9" |head -c 12
Wwy3w7QwI9hk

[[email protected] data]# cat /dev/urandom |tr -dc "A-Za-z0-9" |head -c 12
AisDjYYIN3z7

例子：生成私鑰

1、不加密的私鑰

[[email protected] data]# openssl genrsa -out test.key 1024
Generating RSA private key, 1024 bit long modulus
..++++++
........................++++++
e is 65537 (0x10001)

2、使用dns3加密私鑰

[[email protected] data]# (umask 066;openssl genrsa -out test2.key -des3 2048)
Generating RSA private key, 2048 bit long modulus
.......................................+++
..............................................................................................................+++
e is 65537 (0x10001)
Enter pass phrase for test2.key:
Verifying - Enter pass phrase for test2.key:

解密私鑰

[[email protected] data]# openssl rsa -in test2.key -out test22.key
Enter pass phrase for test2.key:
writing RSA key

[[email protected] data]# ls

 test2.key              test22.key        ###解密後出來的test22私鑰檔案

從私鑰中提取公鑰

[[email protected] data]# openssl rsa -in test2.key -pubout -out test2.pub
Enter pass phrase for test2.key:
writing RSA key

[[email protected] data]# ls

test2.key    test2.pub                ###從私鑰中提取出的公鑰