如何使用公共密钥加密大文件,以使只有拥有私有密钥的人才能解密该文件?
我可以将RSA设为公共和私有密钥,但是在使用以下命令加密大型文件时:
openssl rsautl -encrypt -pubin -inkey public.pem -in myLargeFile.xml -out myLargeFile_encrypted.xml
以及如何执行解密...
我通过以下命令创建我的私钥和公钥
openssl genrsa -out private.pem 1024
openssl rsa -in private.pem -out public.pem -outform PEM -pubout
我收到此错误:
RSA operation error
3020:error:0406D06E:rsa routines:RSA_padding_add_PKCS1_type_2:data too large for key size:.\crypto\rsa\rsa_pk1.c:151:
我试图制作大小从1024到1200位的键,没有运气,同样的错误
Answers:
公钥加密不适用于对任意长文件进行加密。人们使用对称密码(例如AES)进行常规加密。每次生成,使用并使用RSA密码(公钥)加密新的随机对称密钥。密文与加密的对称密钥一起传输到接收者。收件人使用其私钥解密对称密钥,然后使用对称密钥解密消息。
私钥永远不会共享,只有公钥用于加密随机对称密码。
安全和高度安全的解决方案,可以在OpenSSL和命令行中对任何文件进行编码:
您应该已经准备好一些X.509证书来加密PEM格式的文件。
加密文件:
openssl smime -encrypt -binary -aes-256-cbc -in plainfile.zip -out encrypted.zip.enc -outform DER yourSslCertificate.pem
什么是什么:
不管其格式如何,该命令都可以非常有效地对大型文件进行高度加密。
已知问题:
尝试加密大文件(> 600MB)时发生错误。没有引发任何错误,但是加密的文件将被破坏。始终验证每个文件!(或使用PGP-对使用公钥的文件加密有更大的支持)
解密文件:
openssl smime -decrypt -binary -in encrypted.zip.enc -inform DER -out decrypted.zip -inkey private.key -passin pass:your_password
什么是什么:
Usage smime [options] yourSslCertificate.pem ...所有smime选项。
-aes256而不是-aes-256-cbc
我在以下位置找到了说明 http://www.czeskis.com/random/openssl-encrypt-file.html中很有用。
要用示例中的文件名来解释链接的站点,请执行以下操作:
生成对称密钥,因为您可以使用它加密大文件
openssl rand -base64 32 > key.bin使用对称密钥加密大文件
openssl enc -aes-256-cbc -salt -in myLargeFile.xml \ -out myLargeFile.xml.enc -pass file:./key.bin加密对称密钥,以便您可以安全地将其发送给其他人
openssl rsautl -encrypt -inkey public.pem -pubin -in key.bin -out key.bin.enc销毁未加密的对称密钥,因此没人能找到它
shred -u key.bin此时,您发送加密的对称密钥(
key.bin.enc)和加密的大文件(myLargeFile.xml.enc)发送给其他人然后,其他人可以使用其私钥解密对称密钥
openssl rsautl -decrypt -inkey private.pem -in key.bin.enc -out key.bin现在他们可以使用对称密钥解密文件
openssl enc -d -aes-256-cbc -in myLargeFile.xml.enc \ -out myLargeFile.xml -pass file:./key.bin
这样就完成了。另一个人拥有解密的文件,并且已安全发送。
不建议使用smime加密非常大的文件,因为您可以使用-stream选项加密大文件,但由于硬件限制,不能解密生成的文件 请参见:解密大文件时问题
如上所述,公钥加密不是用于加密任意长文件。因此,以下命令将生成一个密码,使用对称加密对文件进行加密,然后使用非对称(公用密钥)对密码进行加密。注意:smime包括使用主公用密钥和备用密钥来加密密码短语。备用的公钥/私钥对是谨慎的。
将RANDFILE值设置为当前用户可访问的文件,生成passwd.txt文件并清理设置
export OLD_RANDFILE=$RANDFILE
RANDFILE=~/rand1
openssl rand -base64 2048 > passwd.txt
rm ~/rand1
export RANDFILE=$OLD_RANDFILE
使用以下命令使用passwd.txt内容作为密码和AES256加密到base64(-a选项)文件来加密文件。使用主公钥和备用密钥将使用不对称加密的passwd.txt加密到文件XXLarge.crypt.pass中。
openssl enc -aes-256-cbc -a -salt -in XXLarge.data -out XXLarge.crypt -pass file:passwd.txt
openssl smime -encrypt -binary -in passwd.txt -out XXLarge.crypt.pass -aes256 PublicKey1.pem PublicBackupKey.pem
rm passwd.txt
解密只是将XXLarge.crypt.pass解密为passwd.tmp,将XXLarge.crypt解密为XXLarge2.data,然后删除passwd.tmp文件。
openssl smime -decrypt -binary -in XXLarge.crypt.pass -out passwd.tmp -aes256 -recip PublicKey1.pem -inkey PublicKey1.key
openssl enc -d -aes-256-cbc -a -in XXLarge.crypt -out XXLarge2.data -pass file:passwd.tmp
rm passwd.tmp
已针对大于5GB的文件进行了测试。
5365295400 Nov 17 10:07 XXLarge.data
7265504220 Nov 17 10:03 XXLarge.crypt
5673 Nov 17 10:03 XXLarge.crypt.pass
5365295400 Nov 17 10:07 XXLarge2.data
为了安全地加密大文件(> 600MB),openssl smime您必须将每个文件分成小块:
# Splits large file into 500MB pieces
split -b 500M -d -a 4 INPUT_FILE_NAME input.part.
# Encrypts each piece
find -maxdepth 1 -type f -name 'input.part.*' | sort | xargs -I % openssl smime -encrypt -binary -aes-256-cbc -in % -out %.enc -outform DER PUBLIC_PEM_FILE
为了提供信息,以下是解密和将所有片段放在一起的方法:
# Decrypts each piece
find -maxdepth 1 -type f -name 'input.part.*.enc' | sort | xargs -I % openssl smime -decrypt -in % -binary -inform DEM -inkey PRIVATE_PEM_FILE -out %.dec
# Puts all together again
find -maxdepth 1 -type f -name 'input.part.*.dec' | sort | xargs cat > RESTORED_FILE_NAME
在有关n. 'pronouns' m.答案的更多说明中,
公钥加密不适用于对任意长文件进行加密。人们使用对称密码(例如AES)进行常规加密。每次生成,使用并使用RSA密码(公钥)加密新的随机对称密钥。密文与加密的对称密钥一起传输到接收者。收件人使用其私钥解密对称密钥,然后使用对称密钥解密消息。
有加密流程:
+---------------------+ +--------------------+
| | | |
| generate random key | | the large file |
| (R) | | (F) |
| | | |
+--------+--------+---+ +----------+---------+
| | |
| +------------------+ |
| | |
v v v
+--------+------------+ +--------+--+------------+
| | | |
| encrypt (R) with | | encrypt (F) |
| your RSA public key | | with symmetric key (R) |
| | | |
| ASym(PublicKey, R) | | EF = Sym(F, R) |
| | | |
+----------+----------+ +------------+-----------+
| |
+------------+ +--------------+
| |
v v
+--------------+-+---------------+
| |
| send this files to the peer |
| |
| ASym(PublicKey, R) + EF |
| |
+--------------------------------+
以及解密的流程:
+----------------+ +--------------------+
| | | |
| EF = Sym(F, R) | | ASym(PublicKey, R) |
| | | |
+-----+----------+ +---------+----------+
| |
| |
| v
| +-------------------------+-----------------+
| | |
| | restore key (R) |
| | |
| | R <= ASym(PrivateKey, ASym(PublicKey, R)) |
| | |
| +---------------------+---------------------+
| |
v v
+---+-------------------------+---+
| |
| restore the file (F) |
| |
| F <= Sym(Sym(F, R), R) |
| |
+---------------------------------+
此外,您可以使用以下命令:
# generate random symmetric key
openssl rand -base64 32 > /config/key.bin
# encryption
openssl rsautl -encrypt -pubin -inkey /config/public_key.pem -in /config/key.bin -out /config/key.bin.enc
openssl aes-256-cbc -a -pbkdf2 -salt -in $file_name -out $file_name.enc -k $(cat /config/key.bin)
# now you can send this files: $file_name.enc + /config/key.bin.enc
# decryption
openssl rsautl -decrypt -inkey /config/private_key.pem -in /config/key.bin.enc -out /config/key.bin
openssl aes-256-cbc -d -a -in $file_name.enc -out $file_name -k $(cat /config/key.bin)
也许您应该检查出对此的公认答案(如何使用公共/私人密钥在php中加密数据?)问题。
它显示了如何使用OpenSSL的S / mime功能执行相同的操作,而无需手动处理对称密钥,而不是手动解决RSA的消息大小限制(或特征)。