Fork me on GitHub

iOS中加密、解密

发表于 | 分类于

对称加密

无状态加密

#import <CommonCrypto/CommonCrypto.h>

分组密码(块加密)即是无状态加密,加密之后除了密文其他信息都会丢失

1
2
3
4
5
6
7
8
9
10
11
12
13
#import <CommonCrypto/CommonCrypto.h>
CCCrypt(CCOperation op,
        <CCAlgorithm alg>,
        <CCOptions options>,
        <const void *key>,
        <size_t keyLength>,
        <const void *iv>,
        <const void *dataIn>,
        <size_t dataInLength>,
        <void *dataOut>,
        <size_t dataOutAvailable>,
        <size_t *dataOutMoved>)

有状态加密

#import <CommonCrypto/CommonCrypto.h>

流密码主要用于大型或流式集合这些难以一次性加密的情况,操作速度快。流密码称为有状态加密,因为他们
知道加密处理的位置

  • 创建CCCryptor、CCCryptorRef

    CCCryptorRef 贯穿于整个加密过程,所以有状态其实也是主要因为这个参数

1
2
3
4
5
6
7
CCCryptorCreate(CCOperation op,
                CCAlgorithm alg,    
                CCOptions options,
                const void *key,
                size_t keyLength,
                const void *iv,
                CCCryptorRef *cryptorRef)

  • 获取输出数据的最大长度

    1
    2
    3
    4
    size_t CCCryptorGetOutputLength(
        CCCryptorRef cryptorRef,
        size_t inputLength,
        bool final)

  • 加密处理update写入缓存区

1
2
3
4
5
6
CCCryptorUpdate(CCCryptorRef cryptorRef,
                const void *dataIn,
                size_t dataInLength,
                void *dataOut,
                size_t dataOutAvailable,
                size_t *dataOutMoved)
  • 刷新所有数据,所有输出被写入
1
2
3
4
CCCryptorFinal(CCCryptorRef cryptorRef,
   void *dataOut,
    size_t dataOutAvailable,
     size_t *dataOutMoved)
  • 释放
1
2
CCCryptorStatus CCCryptorRelease(
    CCCryptorRef cryptorRef)

主秘钥加密

KDF(key derivation function) 秘钥生成函数

目前常见的不可逆加密算法有以下几种:

  • 一次MD5(使用率很高)
  • 将密码与一个随机串进行一次MD5
  • 两次MD5,使用一个随机字符串与密码的md5值再进行一次md5,使用很广泛
  • PBKDF2算法
  • bcrypt

PBKDF2简单而言就是将salted hash进行多次重复计算,这个次数是可选择的。如果计算一次所需要的时间是1微秒,那么计算1百万次就需要1秒钟。假如攻击一个密码所需的rainbow table有1千万条,建立所对应的rainbow table所需要的时间就是115天。这个代价足以让大部分的攻击者忘而生畏。

#import <CommonCrypto/CommonKeyDerivation.h>

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
- (NSData*)generateSalt256 {
    unsigned char salt[32];
    for (int i=0; i<32; i++) {
        salt[i] = (unsigned char)arc4random();
    }
    return [NSData dataWithBytes:salt length:32];
}
...
// Make keys!
NSString* myPass = @"MyPassword1234";
NSData* myPassData = [myPass dataUsingEncoding:NSUTF8StringEncoding];
NSData* salt = [self generateSalt256];
// How many rounds to use so that it takes 0.1s ?
int rounds = CCCalibratePBKDF(kCCPBKDF2, myPassData.length, salt.length, kCCPRFHmacAlgSHA256, 32, 100);
// Open CommonKeyDerivation.h for help
unsigned char key[32];
CCKeyDerivationPBKDF(kCCPBKDF2, myPassData.bytes, myPassData.length, salt.bytes, salt.length, kCCPRFHmacAlgSHA256, rounds, key, 32);

地理位置加密

通过经纬度与PBKDF2结合,大大增加了安全性,降低了破解可能性

拆分服务器秘钥

一半口令存储在用户设备上,另一半存储到服务器上,只有同时用这两个秘钥才能解密

内存安全

  • NSData内存清除

    memset([myData bytes],0,[myData length])

  • NSString内存清除

由于NSString对象我们使用时都是数据的一个副本,所以用CFStringGetCStringPtr函数获取数据指针,以此用来清除

1
2
3
4
unsigned char *text = (unsigned char *)CFStringGetCStringPtr((CFStringRef)myString,
CFStringGetSystemEncoding());
memset(text, 0, [myString length]);
NSLog(@"%s",[myString UTF8String]);

公钥加密体系(非对称加密)

Security.framework

只支持从标准证书文件(cer, crt)中读取公钥

RSA

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
//生成公钥和私钥的方法
OSStatus SecKeyGeneratePair(CFDictionaryRef parameters, SecKeyRef *publicKey,
SecKeyRef *privateKey) __OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_2_0);
//加密方法
OSStatus SecKeyEncrypt(
    SecKeyRef           key,
    SecPadding          padding,
    const uint8_t      *plainText,
    size_t              plainTextLen,
    uint8_t             *cipherText,
    size_t              *cipherTextLen)
__OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_2_0);
//解密方法
OSStatus SecKeyDecrypt(
     SecKeyRef   key,    /* Private key */
     SecPadding  padding,	/*kSecPaddingNone,kSecPaddingPKCS1,kSecPaddingOAEP */
     const uint8_t  *cipherText,
     size_t  cipherTextLen,		/* length of cipherText */
     uint8_t *plainText,
     size_t  *plainTextLen)		/* IN/OUT */
__OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_2_0);
0%