#HarmonyOS NEXT体验官# 数据加密 4.加解密之一 原创
使用加解密操作中,典型的场景有:
⚫ 使用对称密钥的加解密操作。
⚫ 使用非对称密钥的加解密操作。
⚫ 使用RSA(PKCS1_OAEP填充模式)时,获取、设置CipherSpecItem参数。
AES对称密钥加解密算法规格
RSA非对称密钥加解密算法规格
⚫ NoPadding:不带填充,输入的数据必须与RSA钥模(即RSA模数n的字节长
度)一样长;输出数据长度与RSA钥模一样长。
⚫ PKCS1:即RFC3447规范中的RSAES-PKCS1-V1_5模式,对应OpenSSL中的
RSA_PKCS1_PADDING。
⚫ 在进行RSA运算时需要将源数据D转化为Encryption block(EB),加密时,
输入的数据最大长度 <= RSA钥模- 11;输出数据长度与RSA钥模一样长。
PKCS1_OAEP:即RFC3447规范中的RSAES-OAEP模式,对应OpenSSL中的
RSA_PKCS1_OAEP_PADDING。
⚫ 此模式需要设置两个摘要(md和mgf1_md),加密时,输入的数据必须小于
RSA钥模- md摘要长度- mgf1_md摘要长度- 2(摘要长度以字节为单
位);输出数据长度与RSA钥模一样长。
⚫ 此模式还可额外设置pSource字节流来定义OAEP填充的编码输入,并且可以
获取PKCS1_OAEP的相关参数(如表所示)。
RSA非对称密钥加解密算法规格
分段加解密说明
⚫ 对称加解密:对称密钥的分段加解密,通过调用Cipher.update实现。
⚫ 开发者可自定义单次传入的数据量(示例中的updateLength),多次调用
update传入数据。
⚫ 当前单次支持传入的最大长度为INT_MAX(Uint8Array类型的最大长度)。
加解密开发指导
⚫ 使用AES对称密钥(GCM模式)加解密
⚫ 使用AES对称密钥(CBC模式)加解密
⚫ 使用AES对称密钥(GCM模式)分段加解密
⚫ 使用RSA非对称密钥(PKCS1模式)加解密
⚫ 使用RSA非对称密钥分段加解密
⚫ 使用RSA非对称密钥(PKCS1_OAEP模式)加解密
使用AES对称密钥(GCM模式)加密
⚫ 调用cryptoFramework.createSymKeyGenerator、SymKeyGenerator.generateSymKey,生成密钥算法为AES、密钥长度为128位
的对称密钥(SymKey)。
⚫ 调用cryptoFramework.createCipher,指定字符串参数’AES128|GCM|PKCS7’,创建对称密钥类型为AES128、分组模式为GCM、填
充模式为PKCS7的Cipher实例,用于完成加解密操作。
⚫ 调用Cipher.init,设置模式为加密(CryptoMode.ENCRYPT_MODE),指定加密密钥(SymKey)和GCM模式对应的加密参数
(GcmParamsSpec),初始化加密Cipher实例。
⚫ 调用Cipher.update,更新数据(明文)。当前单次update长度没有限制,开发者可以根据数据量判断如何调用update。当数据量较
小时,可以在init完成后直接调用doFinal。当数据量较大时,可以多次调用update,即分段加解密。
⚫ 调用Cipher.doFinal,获取加密后的数据。由于已使用update传入数据,此处data传入null。doFinal输出结果可能为null,在访问具
体数据前,需要先判断结果是否为null,避免产生异常。
⚫ 读取GcmParamsSpec.authTag作为解密的认证信息。在GCM模式下,需要从加密后的数据中取出末尾16字节,作为解密时初始化的
认证信息。示例中authTag恰好为16字节。
调用Cipher.init,设置模式为解密(CryptoMode.DECRYPT_MODE),指定解密密
钥(SymKey)和GCM模式对应的解密参数(GcmParamsSpec),初始化解密
Cipher实例。
⚫ 调用Cipher.update,更新数据(密文)。
⚫ 调用Cipher.doFinal,获取解密后的数据。
import cryptoFramework from '@ohos.security.cryptoFramework';
import buffer from '@ohos.buffer';
function genGcmParamsSpec() {
let arr = [0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0]; // 12 bytes
let dataIv = new Uint8Array(arr);
let ivBlob: cryptoFramework.DataBlob = { data: dataIv };
arr = [0, 0, 0, 0, 0, 0, 0, 0]; // 8 bytes
let dataAad = new Uint8Array(arr);
let aadBlob: cryptoFramework.DataBlob = { data: dataAad };
arr = [0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0]; // 16 bytes
let dataTag = new Uint8Array(arr);
let tagBlob: cryptoFramework.DataBlob = {
data: dataTag
};
// GCM的authTag在加密时从doFinal结果中获取,在解密时填入init函数的params参数中
let gcmParamsSpec: cryptoFramework.GcmParamsSpec = {
iv: ivBlob,
aad: aadBlob,
authTag: tagBlob,
algName: "GcmParamsSpec"
};
return gcmParamsSpec;
}
let gcmParams = genGcmParamsSpec();
// 加密消息
async function encryptMessagePromise(symKey:
cryptoFramework.SymKey, plainText: cryptoFramework.DataBlob) {
let cipher = cryptoFramework.createCipher('AES128|GCM|PKCS7');
await cipher.init(cryptoFramework.CryptoMode.ENCRYPT_MODE,
symKey, gcmParams);
let encryptUpdate = await cipher.update(plainText);
// gcm模式加密doFinal时传入空,获得tag数据,并更新至gcmParams对象
中。
gcmParams.authTag = await cipher.doFinal(null);
return encryptUpdate;
}
// 解密消息
async function decryptMessagePromise(symKey: cryptoFramework.SymKey,
cipherText: cryptoFramework.DataBlob) {
let decoder = cryptoFramework.createCipher('AES128|GCM|PKCS7');
await decoder.init(cryptoFramework.CryptoMode.DECRYPT_MODE, symKey,
gcmParams);
let decryptUpdate = await decoder.update(cipherText);
// gcm模式解密doFinal时传入空,验证init时传入的tag数据,如果验证失败会抛
出异常。
let decryptData = await decoder.doFinal(null);
if (decryptData == null) {
console.info('GCM decrypt success, decryptData is null');
}
return decryptUpdate;
}
async function genSymKeyByData(symKeyData: Uint8Array) {
let symKeyBlob: cryptoFramework.DataBlob = { data: symKeyData };
let aesGenerator = cryptoFramework.createSymKeyGenerator('AES128');
let symKey = await aesGenerator.convertKey(symKeyBlob);
console.info('convertKey success');
return symKey;
}
async function main() {
let keyData = new Uint8Array([83, 217, 231, 76, 28, 113, 23, 219, 250, 71, 209, 210, 205, 97, 32, 159]);
let symKey = await genSymKeyByData(keyData);
let message = "This is a test";
let plainText: cryptoFramework.DataBlob = { data: new Uint8Array(buffer.from(message, 'utf-8').buffer) };
let encryptText = await encryptMessagePromise(symKey, plainText);
let decryptText = await decryptMessagePromise(symKey, encryptText);
if (plainText.data.toString() === decryptText.data.toString()) {
console.info('decrypt ok');
console.info('decrypt plainText: ' + buffer.from(decryptText.data).toString('utf-8'));
} else {
console.error('decrypt failed');
}
}
使用AES对称密钥(CBC模式)加密
调用cryptoFramework.createSymKeyGenerator、SymKeyGenerator.generateSymKey,
生成密钥算法为AES、密钥长度为128位的对称密钥(SymKey)。
⚫ 调用cryptoFramework.createCipher,指定字符串参数’AES128|CBC|PKCS7’,创建对称密
钥类型为AES128、分组模式为CBC、填充模式为PKCS7的Cipher实例,用于完成加解密操
作。
⚫ 调用Cipher.init,设置模式为加密(CryptoMode.ENCRYPT_MODE),指定加密密钥
(SymKey)和CBC模式对应的加密参数(IvParamsSpec),初始化加密Cipher实例。
⚫ 加密内容较短时,可以不调用update,直接调用Cipher.doFinal,获取加密后的数据。
调用Cipher.init,设置模式为解密(CryptoMode.DECRYPT_MODE),指定
解密密钥(SymKey)和CBC模式对应的解密参数(IvParamsSpec),初始化
解密Cipher实例。
⚫ 解密内容较短时,可以不调用update,直接调用Cipher.doFinal,获取解密后
的数据。
let keyData = new Uint8Array([83, 217, 231, 76, 28, 113, 23, 219, 250, 71, 209, 210, 205, 97, 32, 159]);
请问下83, 217, 231, 76, 28, 113, 23, 219, 250, 71, 209, 210, 205, 97, 32, 159是密钥吗?