Google Tink多语言跨平台加密(一)
2018-09-23 本文已影响0人
技术学徒
如果对密码学还不了解,可以先看一下现代密码学程序猿补完计划
Tikn是什么
由Google的密码学家和安全工程师联合编写的加密库。源于与Google产品团队合作的丰富经验,提供了即便没有加密经验也可以安全使用的API。
Github地址
优势
- 多语言跨平台,以往我们在同种开发言语下加解密还好说,但多语言甚至跨平台时就很麻烦了。例如用C#做RSA加密再用Java解密,如果没有点加密功底,绝对够你弄上好几天的。
- 另一个就是易用性,整套API结构清晰,用起来简单高效。
使用场景
- 各种开发语言混合加解密,甚至跨平台;
- 如果你的项目是Java并基于Springcloud,那么自己编写一个tink的starter真是再好不过了;
- 与你的KMS(key management systems)结合使用;
一个简单的例子
先引入tink,最新版是1.2.0;
<dependency>
<groupId>com.google.crypto.tink</groupId>
<artifactId>tink</artifactId>
<version>1.2.0</version>
</dependency>
安卓可以使用Gradle引入tink;
dependencies {
compile 'com.google.crypto.tink:tink-android:1.2.0'
}
- AES的加解密例子
import com.google.crypto.tink.Aead;
import com.google.crypto.tink.KeysetHandle;
import com.google.crypto.tink.aead.AeadFactory;
import com.google.crypto.tink.aead.AeadKeyTemplates;
import com.google.crypto.tink.config.TinkConfig;
import java.io.IOException;
import java.security.GeneralSecurityException;
public class TinkDemo {
public static void main(String[] args) throws GeneralSecurityException, IOException {
// 基于默认配置进行注册
TinkConfig.register();
// 测试用的明文字符串
String plaintext = "技术学徒";
// 生成密钥
KeysetHandle keysetHandle = KeysetHandle.generateNew(
AeadKeyTemplates.AES128_GCM);
Aead aead = AeadFactory.getPrimitive(keysetHandle);
/*
* 加密
* 第一个参数是plaintext(明文)
* 第二个参数是associatedData(相关数据)
* 可以为null,相当于一个空(零长度)字节数组。
* 同样,解密时必须提供同样的相关数据。
*/
byte[] ciphertext = aead.encrypt(plaintext.getBytes(), null);
// 解密
byte[] decrypted = aead.decrypt(ciphertext, null);
System.out.println(new String(decrypted));
}
}
什么是 associatedData(相关数据)?
应该被认证但未加密的数据,具有相关数据的加密确保了该数据的真实性(即,发送者是谁)和完整性(即,数据未被篡改),而不是其保密性(参见RFC 5116)
举个栗子:你要对手机号加密,那么可以将用户名作为相关数据。
明文和相关数据可以有任意长度(在0..232字节范围内)
我们注意到在加密之前有这么一句话:
Aead aead = AeadFactory.getPrimitive(keysetHandle);
Primitive 是什么?
Primitive 称之为原语,Tink的所有加密都是通过原语来执行的。上面代码中返回的Aead就是原语中的一种,后面的文章我会介绍更多原语(也就是更多加密类型)。
Primitive 的特点?
- 无状态(stateless),所以线程安全;
- copy-safe(参数);
- 至少128位安全性(RSA除外);
后续文章我会逐步深入介绍常用加密的实现方法和部分源码解读。
