openssl之EVP系列之6---EVP_Encrypt系列函数编程架构及例子
---根据openssl doc\crypto\EVP_EncryptInit.pod和doc\ssleay.txt cipher.doc部分翻译和自己的理解写成
(作者:DragonKing, Mail: wzhah@263.net ,发布于:http://gdwzh.126.com之openssl专业论坛,版本:openssl-0.9.7)
在前面的两篇文章,已经对EVP_Encrypt*...*系列函数做了详细的介绍,本章将说明该系列函数通用的应用架构,并举几个函数应用例子。
【应用架构】
一般来说,EVP_Encrypt*...*系列函数的应用架构如下所描述(假设加密算法为3DES):
1.定义一些必须的变量
char key[EVP_MAX_KEY_LENGTH];
char iv[EVP_MAX_IV_LENGTH];
EVP_CIPHER_CTX ctx;
unsigned char out[512+8];
int outl;
2.给变量key和iv赋值,这里使用了函数EVP_BytesToKey,该函数从输入密码产生了密钥key和初始化向量iv,该函数将在后面做介绍。如果可以有别的办法设定key和iv,该函数的调用不是必须的
EVP_BytesToKey(EVP_des_ede3_cbc,EVP_md5,NULL,passwd,strlen(passwd),key,iv);
3.初始加密算法结构EVP_CIPHER_CTX
EVP_EncryptInit_ex(&ctx, EVP_des_ede3_cbc(), NULL, key, iv);
4.进行数据的加密操作
while (....)
{
EVP_EncryptUpdate(ctx,out,&outl,in,512);
}
一般来说采用了循环的结构进行处理,每次循环加密数据为512字节,密文输出到out,out和int应该是指向不相同的内存的。
5.结束加密,输出最后的一段512字节的数据
EVP_EncryptFinal_ex(&ctx, out, &outl)
该函数会进行加密的检测,如果加密过程有误,一般会检查出来。
说明:加密跟上述过程是一样的,只不过要使用EVP_Decrypt*...*系列函数。
【例子】
1.取得算法RC5使用的循环次数(round)
int nrounds;
EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_GET_RC5_ROUNDS, 0, &nrounds);
2.取得算法RC2的有效密钥长度
int key_bits;
EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_GET_RC2_KEY_BITS, 0, &key_bits);
3.设置算法RC5使用的循环次数(round)
int nrounds;
EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_SET_RC5_ROUNDS, nrounds, NULL);
4.设置算法RC2的有效密钥长度
int key_bits;
EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_SET_RC2_KEY_BITS, key_bits, NULL);
5.使用Blowfish算法加密一个字符串
int do_crypt(char *outfile)
{
unsigned char outbuf[1024];
int outlen, tmplen;
//其实key和iv一般应该从别的地方得到,这里固定了至少作为演示使用的
unsigned char key[] = {0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15};
unsigned char iv[] = {1,2,3,4,5,6,7,8};
char intext[] = "Some Crypto Text";
EVP_CIPHER_CTX ctx;
FILE *out;
EVP_CIPHER_CTX_init(&ctx);
EVP_EncryptInit_ex(&ctx, EVP_bf_cbc(), NULL, key, iv);
if(!EVP_EncryptUpdate(&ctx, outbuf, &outlen, intext, strlen(intext)))
{
/* 出错处理*/
return 0;
}
//注意,传入给下面函数的输出缓存参数必须注意不能覆盖了原来的加密输出的数据
if(!EVP_EncryptFinal_ex(&ctx, outbuf + outlen, &tmplen))
{
/* 出错处理*/
return 0;
}
outlen += tmplen;
EVP_CIPHER_CTX_cleanup(&ctx);
//注意,保存到文件的时候要使用二进制模式打开文件,因为密文数据是二进制的,而且,不能采用strlen函数,因为密文字符串不是以NULL(0)为结束的字符串
out = fopen(outfile, "wb");
fwrite(outbuf, 1, outlen, out);
fclose(out);
return 1;
}
上面举的例子加密的密文可以使用openssl提供的应用程序cipher.exe来解密,命令如下:
openssl bf -in cipher.bin -K 000102030405060708090A0B0C0D0E0F -iv 0102030405060708 -d
6.使用文件I/O和80位密钥RC2算法的通用加密解密函数实例,该函数可以进行加密,也可以进行解密,由参数do_encrypt决定,该参数为1时则执行加密,为0时则执行解密。
int do_crypt(FILE *in, FILE *out, int do_encrypt)
{
/*为输出缓冲设置足够的附加空间*/
inbuf[1024], outbuf[1024 + EVP_MAX_BLOCK_LENGTH];
int inlen, outlen;
//其实key和iv一般应该从别的地方得到,这里固定了至少作为演示使用的
unsigned char key[] = "0123456789";
unsigned char iv[] = "12345678";
//这时候不进行key和IV的设置,因为我们还要修改参数
EVP_CIPHER_CTX_init(&ctx);
EVP_CipherInit_ex(&ctx, EVP_rc2(), NULL, NULL, NULL, do_encrypt);
EVP_CIPHER_CTX_set_key_length(&ctx, 10);
//完成参数设置,进行key和IV的设置
EVP_CipherInit_ex(&ctx, NULL, NULL, key, iv, do_encrypt);
for(;;)
{
inlen = fread(inbuf, 1, 1024, in);
if(inlen <= 0) break;
if(!EVP_CipherUpdate(&ctx, outbuf, &outlen, inbuf, inlen))
{
/*出错处理 */
return 0;
}
fwrite(outbuf, 1, outlen, out);
}
if(!EVP_CipherFinal_ex(&ctx, outbuf, &outlen))
{
/* 出错处理*/
return 0;
}
fwrite(outbuf, 1, outlen, out);
EVP_CIPHER_CTX_cleanup(&ctx);
return 1;
(DragonKing) |
