介紹
在.NET之前,使用非托管的Win32APIs加密解密數據是一件非常痛苦的事情。為了這個加密解密的目的,.NET配置了一組類(和命名空間)。現在你有很多類可以使用每種不同 的算法保護你的數據。在.NET里面Crypttography命名空間下又定義了3種類型的加密方法。他們是AsymmetricAlgorithm,SymmetricAlgorithm和HashAlgorithm。所有的這些類(和.NET密碼學類型)都是抽象類。我們今天將要描述SymmetricAlgorithm。剩下的將在以后的文章中陸續講解。
注意:雖然大多數托管代碼里的加密類實現使用了很多CryptoAPI庫。
SymmetricAlgorithms基礎
對稱算法使用用戶的密鑰(密碼)工作。它的意思是,任何時候你都可以實現它而且可以使用對稱算法加密或者解密你的數據,為了加密或者解密你的數據你必須定義一個密碼或者一個密鑰。下面描述了對稱加密的特性。
●加密的強度依賴于你的密鑰(密碼)。如果你配置一個長的密鑰,它將是非常難破解的。意思是他將要花費很長的時間讓黑客找到密鑰。
●對稱加密的一個風險是密碼應該讓第二個人知道(這個人必須用你的密鑰來解密數據)。
●這種加密算法是基于簡單的數學操作,因此它工作的非常快。因此當你要加密的數據量非常大的時候它是最好的選擇。
●基于對稱的加密可以被黑客暴力破解。但是如果你定義一個非常好的密碼(足夠長),這個破解的過程將需要很長的時間。
●一旦用戶定義了密鑰。黑客可以使用暴力破解或者字典來編碼或者解密你的信息。但是長的密鑰可以在黑客破解你的密碼的時候保護你的數據更長的時間。
另外在使用密鑰或者密碼對稱加密過程中有一件非常重要的事情。就是初始化向量(IV)。IV被使用在最初的編碼中(加密或者解密)。在所有的對稱算法類中我們有一個名叫Mode的屬性。這是被IV使用的。如果我們設置Mode屬性為CipherMode.CBC(Cipher Block Chaining),則使用這個模式,每個數據塊使用來自前一個塊的值來處理。意思是如果系統在處理第三塊數據,則它會從第二塊中取一些信息(處理第三塊數據)。接著它會取第一塊數據中的信息用來處理第二塊數據。但是在第一塊數據之前沒有可以用的塊,因此它將使用IV來處理第一塊。這個技術確保沒有兩個相同的塊產生相同的輸出并且因此使得數據更安全。然而如果你使Mode=CipherModer.ECB(Electronic codebook mode),則他不會使用上面的方法(使用前面的處理的塊信息處理后面的塊)。如果你想用很少的資源和時間處理大量的消息那么這個方法對于你來說就很有用。他也可以讓你從數據的中間開始處理。
應此,上面我們包含了在對稱加密中的兩間非常重要的事情。他們是密鑰和初始化向量。現在讓我們看看對稱加密支持哪些算法。
對稱算法和對稱算法類
下面是對稱算法和他們的類的關鍵信息。
算法名稱 算法類(抽象) 有效密鑰大小(Bit) 默認密鑰大小(Bit) 默認實現類
DES DES 64 64 DESCryptoServiceProvider
TripleDES TripleDES 128, 192 192 TripleDESCryptoServiceProvider
RC2 RC2 40-128 128 RC2CryptoServiceProvider
RijnDael RijnDael 128, 192, 256 256 RijnDaelManaged
這里需要注意的是所有的算法類都是繼承于抽象類SymmetricAlgorithm。并且你可以看到每個類都支持不同的密鑰大小。相同的情況下,他們也支持不同的初始化向量的大小。正如我剛才所說的他們所有的類都是抽象類,因此我們不能直接創建這些抽象類的任何實例。但是SymmetricAlgorithm類(也是抽象類)有一個共享的方法叫Create可以不用操心它是如何實現來創建一個類的具體實例。意思是,你可以通過下面的方式使用它。
RC2 mRC2 = RC2.Create();
它將為您返回一個RC2默認實現的一個實例,而不用去關心具體如何實現RC2這個類。如果你想在微軟以后更新RC2類的實現還能共享代碼(成為可能),這個技術是非常有用的。在那種情況下,你的代碼將自動適應它們的改變并且正確的工作。或者可能在將來RC2類用托管代碼寫,你的代碼依然可以接受它。在相同的情況下,你同樣可以使用下面的語句。
RC2 mCrypto = SymmetricAlgorithm.Create(“RC2”);
這也可以給你返回一個RC2的對象(默認實現)。在這種情況下你要使用重裁Create方法用算法的名字設置參數來返回算法的對象。 這個Create方法來自SymmetricAlgorithm類,并且向我前面說的所有的使用對稱算法的其它類都繼承于SymmetricAlgorithm,因此你可以在上面所有的類里面找到Create這個方法。意思是如果你使用RC2.Create(“DES”)則它也能工作并且將返回一個DES的對象。但是不能使用RC2類得到DES對象。
上面的機制看起來很有用。我們可以用同樣的方法使用我們自己的算法定義自己的類。但是要想這樣,我們必須要對machine.config文件作一些小的改動。我在這里不詳細描述。你可以參考Wrox關于密碼學的書得到更多的信息。
現在讓我們看看SymmetricAlgorithm類里面的一些方法和屬性。
●BlockSize:分開處理的數據塊的大小。大的數據將被分成小的數據塊來處理,如果數據小于塊大小,則被追加(使用一些默認值填充)。
●Key:在處理數據的時候將要使用密鑰。這個密鑰被配置成使用字節數組。
●IV:數據處理的時候使用初始化向量(上面已經描述)。配置成字節數組。
●KeySize:密鑰的所有位的大小。
●LegalBlockSize: 返回BlockSize的枚舉告訴你判斷包括最大值,最小值和跳躍值在內的塊的大小。跳躍值意思是還有多少值應該添加判斷值得到下一個值。比如如果最小值是32,跳躍值是16那么下一個判斷值就是48,64等等。(Returns the BlockSize Enumeration which tells you legal values for block size including max value, min value and Skip value. Skip value means that how much value should be added to last legal value to get next value. Like if min value is 32 and Skipvalue is 16, it means next legal values will be 48, 64 and so on.)
●Mode: 位操作得到或者設置模式。見上面描述。值是CipherMode枚舉中的一個。
●Padding: 得到或者設置PaddingMode枚舉中的一個追加值。(填充塊中空余的區域)
●LegalKeySize: 和LegalBlockSize一樣,但是處理的是KeySize。
●Create: 上面已經描述,使用它創建默認算法實現的類的實例。
●CreateEncryptor: 返回一個可以手動加密數據的IcryptoTransform對象。一會將仔細描述。
●CreateDecryptor: 返回一個可以手動解密數據的IcryptoTransform對象。一會將仔細描述。
●GeneratrKey and GenerateIV: 在加密或者解密的過程中如果Key和IV是null則這些方法可以產生默認的密鑰和IV。
●VaildKeySize: 檢查給定的密鑰是不是算法的有效的密鑰。
●Clear: 清除和消除所有的資源以及象密鑰和IV這樣的內存信息。
在寫代碼之前,讓我們說幾件對我們理解代碼非常用幫助的事情。
CreateEncryptor和CreateDecryptor
SymmetricAlgorithm類的CreateEncryptor和CreateDecryptor方法返回ICryptoTransform對象。IcryptoTransform是一個想要處理數據塊的類來實現的接口。這個過程可以是加密,解密,散列,基于64的編碼和解碼等等。這個接口的基本目的是完成數據處理分塊(The basic purpose of this Interface is to perform Blockwize processing of data.)。你可以直接使用它的實例,但是在大多數情況下,為了方便,我們通過其他的名叫CryptoStream來完成。讓我們看一個例子是如何使用它的。
DES mCrypt = new SymmetricAlgorithm.Create(“DES”);
ICryptoTransform mTransform = mCrypt.CreateEncryptot();
CreateEncryptor或者CreateDecryptor是兩個重裁的方法。如果你沒有任何參數傳入其中,那么將使用默認的密鑰和IV(使用SymmetricAlgoruthm類里面的GenerateKey和GenerateIV方法)。另一方面,你可以通過傳入一個IV和密鑰到CreateEncryptor和CreateDecryptor的對象中。以致加密和解密將使用我們自己定義的IV和密鑰。
CryptoStream類
CryptoStream類通常被使用來讀寫數據同時也在讀或者寫的時候加密或者解密數據。它是簡單的包裝了一下原始流類Stream。It uses the buffered access taking all worries from you to manage buffer, block sizes, padding etc.你可以使用下面的代碼得到它的實例。
DES mCrypt = SymmetricAlgorithm.Create(“DES”);
IcryptoTransform mTransform = mCrypt.CreateEncryptor();
CryptoStream mStream = new CryptoStream(fileStream,mTransform,CryptoStramMode.Read)
fileStream是請求從硬盤或者內存中讀取數據的原始文件的流(或者是MemoryStream)。現在通過使用mStream對象和StreamReader/StreamWriter對象讀寫數據。當你將要讀寫時,你的加密解密信息將依賴IcryptoTransform對象。
代碼例子
現在我們有足夠關于SymmetricAlgorithm的信息。最后,讓我們看看將要編碼和解碼的代碼片斷。我假設你擁有一個包含txtData和命令按鈕控件的窗體。在命令按鈕的代碼事件里寫如下代碼。這個代碼將要加密TextBox里面的文本并用MessageBox顯示,在將加密結果寫回到TextBox中。
SymmetricAlgorithm mCryptProv;
MemoryStream mMemStr;
// 加密txtData中的數據,然后將加密結果用MessageBox顯示并且回寫到TextBox中
// 這里你可以配置任何.NET支持的類
DES mCryptProv = SymmetricAlgorithm.Create(“Rijndael”);
// 加密數據將要以流的形式存儲在內存中因此我們需要內存Stream對象
mMemStr = new MemoryStream();
// 創建ICryptTransform對象.(在這里我們使用默認的密鑰和初始向量).
ICryptTramsform mTransform = mCryptProv.CreateEncryptor();
CryptoStream mCSWriter = new CryptoStream(mMemStr,mTransform,CryptoStreamMode.Write);
StreamWriter mSWriter = StreamWriter(mCSWriter);
mSwriter.Writer(this.txtData.Text);
mSWriter.Flush();
mCSWriter.FlushFinalBlock();
有一件事情在這里需要注意我們沒有在代碼的任何地方使用IV和密鑰。事實上,在我們在代碼里面沒有指定他們的時候.NET Framework將為我們自動產生。但是本文包含的例子代碼使用的是用戶指定的密鑰和IV。我們將加密以后的數據使用MemoryStream寫到內存中。現在讓我們從內存中得到數據的代碼。
// 數據已經寫入內存但是我們需要回顯它到TextBox和MessageBox中,因此要做下面的工作。
// 為接受數據創建字節數組。
byte[] mBytes = new byte[mMemStr.Length - 1];
mMemStr.Position = 0;
mMemStr.Read(mBytes,0,mMemStr.Length);
Text.UTF8Encoding mEnc = new Text.UTF8Encoding();
String mEncData = mEnc.GetString(mBytes);
MessageBox.Show(“加密數據為:\n”+mEncData);
This.txtData.Text = mEncData;
從字節轉換為字符串必須要編碼。在這里我使用了UTF8Encoding。最后,讓我們將解密后的數據再次顯示在MessageBox和TextBox中。
// 現在讓我們從內存中得到解密后的數據
// 因為我們的數據在內存中,所以我們需要重新使用MemoryStream對象。
// 將內存點置0
mMemStr.Position = 0;
mTransform = mCryptProv.CreateDecryptor();
CryptoStream mCSReader = new CryptoStream(mMemStr,mTransform,CryptoStreamMode.Read);
StreamReader mStrReader = new StreamReader(mCSReader);
String mDecData = mStrReader.ReadToEnd();
MessageBox(“解密數據為:\n”+mDecData);
This.txtData.Text = mDecData;
這是所有的工作。解密那些數據我們使用了相同的內存流。為了能從流的其實部分讀數據我們首先將它置為開始。然后我們用SymmetricAlgorithm對象的CreateDecryptor方法創建IcryptoTransform對象。我們在上面的代碼中為了解密重復使用了對象(mMemStr)。你可以創建新的對象(使用新的變量)。然后我們為了從內存中讀取數據需要StreamReader對象。While reading that it will also decrypt that data since we passed CryptoStream object during the creation of StreamReader object.
最后的話
.NET為我們提供了一個非常好的托管途徑保護我們的數據。我們可以使用.NET內建的一組類來加密我們的數據。雖然很多的類后臺依然使用Crypto APIs技術,我們使用老的Crypto APIs沒有任何問題。但是我們可以不用擔心那些類的具體實現來安全的使用這些類。在后面的文章我將描述非對稱加密算法的神話和用途。
關于例子
該文章的例子代碼讓你可以選擇一個算法來加密或者解密數據。而且它還讓你指定你自己的IV和密鑰。代碼以兩種方式工作。一種是TextBox,意思是你在TextBox中寫些東西然后加密或者解密這些內容。第二種,你可以選擇要加密或者解密的文件。
