1、为何要做数据加密
做过客户端的开发者应该知道,客户端数据的安全对公司来说绝对是头等重要的事情,毕竟数据是公司最有价值的东西。因此为了保证数据的安全,做客户端开发务必要做的事情就是数据加密。
要做数据加密自然离不开数据加密算法,说到加密算法,很多人自然会想到大名鼎鼎的OpenSSL开源库,OpenSSL提供了各种丰富的算法,OpenSSL包含对称加密算法、非对称加密算法、信息摘要算法。主流编程语言都提供了实现了当中大多数算法的API。
对称加密
OpenSSL一共提供了8种对称加密算法,其中7种是分组加密算法,仅有的一种流加密算法是RC4。这7种分组加密算法分别是AES、DES、Blowfish、CAST、IDEA、RC2、RC5,都支持电子密码本模式(ECB)、加密分组链接模式(CBC)、加密反馈模式(CFB)和输出反馈模式(OFB)四种常用的分组密码加密模式。其中,AES使用的加密反馈模式(CFB)和输出反馈模式(OFB)分组长度是128位,其它算法使用的则是64位。事实上,DES算法里面不仅仅是常用的DES算法,还支持三个密钥和两个密钥3DES算法。
非对称加密
OpenSSL一共实现了4种非对称加密算法,包括DH算法、RSA算法、DSA算法和椭圆曲线算法(EC)。DH算法一般用于密钥交换。RSA算法既可以用于密钥交换,也可以用于数字签名,当然,如果你能够忍受其缓慢的速度,那么也可以用于数据加密。DSA算法则一般只用于数字签名。
信息摘要
OpenSSL实现了5种信息摘要算法,分别是MD2、MD5、MDC2、SHA(SHA1)和RIPEMD。SHA算法事实上包括了SHA和SHA1两种信息摘要算法。此外,OpenSSL还实现了DSS标准中规定的两种信息摘要算法DSS和DSS1。
OpenSSL提供各种算法,基本上能满足开发中的需求。不过也可以使用一种更简单靠谱的加密方式,那就是本文的主角异或加密。
2、 异或加密原理
异或运算法则
异或是一种数学的逻辑运算。口诀:相同为假,不同为真。
二进制表示如下:
- 0 ^ 0 = 0
- 0 ^ 1 = 1
- 1 ^ 0 = 1
- 1 ^ 1 = 0
例如:
x是二进制数0101,y是二进制数1011,
则 x ^ y = 1110,结果记为 m,
若要还原x,只需 m ^ y = 0101,结果就是 x,同样也可以还原 y。
根据例子得出如下公式:
x ^ y ^ y = x
或
x ^ y ^ x = y
由于第一个数与第二个数异或后结果为另外一个数,然后将结果再与第二个数异或之后结果有变为第一个数。
因此根据这一原理,可以将第二个数看作加密密钥,第一个数就是要加密的数据,2者进行异或之后,相当于将数据进行加密,再次与密钥进行异或后,数据被还原,相当于将数据进行解密。
在开发中也可以用这一原理,将2个变量的值进行交换。
3、代码实现异或加密
先看看Java的实现,其实很简单的:
final String keys = "a1234567890";
byte[] xor(byte[] text) {
byte[] result = new byte[text.length];
byte[] keyArray = keys.getBytes("UTF-8");
byte key;
int size = text.length;
for (int i = 0; i < size; i++) {
key = keyArray[i % keyArray.length];
result[i] = (byte) (text[i] ^ key);
}
return result;
}
用法:调用一次可对数据加密,将结果数据作为参数传入再调用一次即对数据解密。
由于Java容易被反编译,为了提高算法以及密钥的安全性,推荐使用JNI实现:
先在Java中声明函数
public native byte[] xorByJNI(byte[] text);
然后在C/C++中实现函数
const char keys[] = "a1234567890";
extern "C"
JNIEXPORT jbyteArray JNICALL
Java_me_am_payge_nativeprogram_MainActivity_ xorByJNI(
JNIEnv* env,
jobject /* this */,
jbyteArray jText) {
//std::string hello = "Hello from C++";
char *chs;
jbyte *bytes = env->GetByteArrayElements(jText, JNI_FALSE);
size_t len = strlen((char *) bytes);
chs = (char *) malloc(len);
memcpy(chs, bytes, (size_t) len);
char key;
int index;
for (int i = 0; i < len; i++) {
index = i % strlen(keys);
key = keys[index];
*chs = *chs ^ key;
chs++;
}
chs = chs - len;
jbyteArray result = env->NewByteArray(env->GetArrayLength(jText));
env->SetByteArrayRegion(result, 0, env->GetArrayLength(jText), (const jbyte *) chs);
env->ReleaseByteArrayElements(jText, bytes, 0);
free(chs);
return result;
}
不管是使用异或还是其他加密方式,对于Android应用来说,由于Java容易被反编译,为了数据的安全性更高,都应该使用JNI实现,还有密钥的安全性也很重要,可以先用非对称加密的私钥加密密钥后存储在服务端,然后通过网络获取加密的密钥,获取之后分段存储在客户端,需要使用时,将各分段拼接好,然后用公钥解密密钥得到真正的密钥,之后就能用此密钥加密数据了。
4、遇到的小坑
一开始函数实现是用String作为参数,返回值类型也是String,测试中发现中文字符串加密后再解密是乱码。
原因是中文字符的字节数据经过异或后会变成无效的UTF-8编码,然后将异或后的字节数据转String获取到错误的字符串,之后再解密该错误的字符串,所以就不能正确还原成原先的字符串。