本篇博文讲述如何在Qt C++的环境中使用OpenSSL实现AES-ECB/CBC-Pkcs7加/解密,可以一次性加解密一个任意长度的明文字符串或者字节流,但不适合分段读取加解密的(例如,一个4GB的大型文件需要加解密,要分段读取,每次读取10MB,就加解密10MB,这种涉及全文件填充,而不是每个10MB片段填充具有较复杂的上下文处理,本文不探讨这种)
Qt中的QByteArray比较好用,所以我本篇文章不使用标准C++的unsigned char数组,而是用QByteArray代替,所以要依赖Qt的环境,如果你不用Qt就想办法把QByteArray改回unsigned char数组。
一、简介
AES:略(自行百度)
ECB:略(自行百度)
CBC:略(自行百度)
PKCS7:填充方式,AES支持多种填充方式:如NoPadding、PKCS5Padding、ISO10126Padding、PKCS7Padding、ZeroPadding。PKCS7兼容PKCS5,目前PKCS7比较通用。
二、实现方式
1.使用以下4个接口实现AES的ECB和CBC加解密,注意:PKCS7的填充需要自己另外实现,想要对大型文件分段读取整体加解密的话非常麻烦,要自己想办法处理上下文衔接问题,这4个接口在Openssl的v3.0版本以后被标记为废弃接口,但还可以使用:
int AES_set_encrypt_key(const unsigned char *userKey, const int bits, AES_KEY *key);
int AES_set_decrypt_key(const unsigned char *userKey, const int bits, AES_KEY *key);
void AES_ecb_encrypt(const unsigned char *in, unsigned char *out, const AES_KEY *key, const int enc);
void AES_cbc_encrypt(const unsigned char *in, unsigned char *out,size_t length, const AES_KEY *key, unsigned char *ivec, const int enc);
2.使用Openssl的EVP接口实现AES的ECB和CBC加解密,EVP接口内置各种填充不需要我们自己实现了,另外利用其自带的上下文结构特性,可以进行大型文件分段读取整体加解密,使用简易性和灵活性都很高,但是执行效率和资源消耗比非evp接口差一些。(推荐,v3.0前后的版本都可以兼容,但执行效率比上面4个接口稍差):
EVP_CIPHER_CTX *EVP_CIPHER_CTX_new(void);
void EVP_CIPHER_CTX_free(EVP_CIPHER_CTX *c);
EVP_CIPHER_CTX_init(EVP_CIPHER_CTX *c);
int EVP_CIPHER_CTX_set_padding(EVP_CIPHER_CTX *c, int pad);
int EVP_EncryptInit_ex(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher, ENGINE *impl, const unsigned char *key, const unsigned char *iv);
int EVP_EncryptUpdate(EVP_CIPHER_CTX *ctx, unsigned char *out, int *outl, const unsigned char *in, int inl);
int EVP_EncryptFinal_ex(EVP_CIPHER_CTX *ctx, unsigned char *out, int *outl);
int EVP_DecryptInit_ex(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher, ENGINE *impl, const unsigned char *key, const unsigned char *iv);
int EVP_DecryptUpdate(EVP_CIPHER_CTX *ctx, unsigned char *out, int *outl, const unsigned char *in, int inl);
int EVP_DecryptFinal_ex(EVP_CIPHER_CTX *ctx, unsigned char *outm, int *outl);
三、实现Pkcs7填充/去除填充
描述:使用Openssl v3.0以前的旧接口实现,Pkcs7填充/去除填充需要自己实现。
创造一个Pkcs7填充/去填充的工具类WJPPadding,封装Pkcs7填充/去除填充的静态接口:
#ifndef WJPPADDING_H
#define WJPPADDING_H
#include <QByteArray>
/**
* @brief 数据填充类(对齐类)
* 算法数据填充模式,提供对数据进行PKCS7填充和去除填充的相关函数。
*/
class WJPPadding
{
public:
WJPPadding();
/**
* @brief 根据原始数据长度,计算PKCS7填充后的数据长度
* @param dataLen 原始数据长度
* @param alignSize 对齐字节数
* @return 返回填充后的数据长度
*/
static int getPKCS7PaddedLength(int dataLen, int alignSize);
/**
* @brief 采用PKCS7Padding方式,将in数据进行alignSize字节对齐填充,填充后输出到out
* 此函数用于加密前,对明文进行填充。
* @param in 原始数据
* @param out 填充后的数据
* @param alignSize 对齐字节数(对于aes加解密,一般都是16 Byte)
* @return 无返回
*/
static void PKCS7Padding(const QByteArray &in, QByteArray &out, int alignSize);
/**
* @brief 采用PKCS7Padding方式,将in数据去除填充。
* 此函数用于解密后,对解密结果进一步去除填充,以得到原始数据,直接在原数据中剔除
* @param in 需要去除填充的数据
* @return 无返回
*/
static void PKCS7UnPadding(QByteArray &in);
};
#endif // WJPPADDING_H
#include "wjppadding.h"
WJPPadding::WJPPadding()
{
}
int WJPPadding::getPKCS7PaddedLength(int dataLen, int alignSize)
{
// 计算填充的字节数(按alignSize字节对齐进行填充)
int remainder = dataLen % alignSize;
int paddingSize = (remainder == 0) ? alignSize : (alignSize - remainder);
return (dataLen + paddingSize);
}
void WJPPadding::PKCS7Padding(const QByteArray &in, QByteArray &out, int alignSize)
{
// 计算需要填充的字节数(按alignSize字节对齐进行填充)
int remainder = in.size() % alignSize;
int paddingSize = (remainder == 0) ? alignSize : (alignSize - remainder);
char paddingChar = static_cast<char>(paddingSize);// 填充字节数转字符
// 进行填充
out.reserve(in.size()); // 预留拷贝空间
out = in; //拷贝原始数据
out.append(paddingSize, paddingChar);// 尾部填充上面计算得到的填充字符
}
void WJPPadding::PKCS7UnPadding(QByteArray &in)
{
// 读取尾部最后一个元素,得到填充字符
char paddingSize = in.at(in.size() - 1);
// 填充字符转填充字节数,并在尾部剔除填充字节数所指的字节
in.chop(static_cast<int>(paddingSize));
}
四、实现加解密接口
描述:以下封装的接口,没有evp前缀的使用Openssl v3.0以前的旧接口实现,有evp前缀的就是使用Openssl的EVP接口实现。
创造一个自己的AES加解密类WJPAES,封装加解密的静态接口:
#ifndef WJPAES_H
#define WJPAES_H
#include <QObject>
#include "openssl/types.h"
class WJPAES
{
public:
WJPAES();
/**
* @brief ECB模式加解密,填充模式采用PKCS7,
* 对任意长度明文进行加一次解密,根据机器内存情况,尽量不要太长。
* @param in 输入数据
* @param out 输出结果
* @param key 密钥,长度必须是16/24/32字节,否则加密失败
* @param enc true-加密,false-解密
* @return 执行结果
*/
static bool ecb_encrypt(const QByteArray &in, QByteArray &out, const QByteArray &key, const bool &enc);
static bool evp_ecb_encrypt(const QByteArray &in, QByteArray &out, const QByteArray &key, const bool &enc);
/**
* @brief CBC模式加解密,填充模式采用PKCS7,
* 对任意长度明文进行一次加解密,根据机器内存情况,尽量不要太长。
* @param in 输入数据
* @param out 输出结果
* @param key 密钥,长度必须是16/24/32字节,否则加密失败
* @param ivec 初始向量,长度必须是16字节
* @param enc true-加密,false-解密
* @return 执行结果
*/
static bool cbc_encrypt(const QByteArray &in, QByteArray &out, const QByteArray &key, const QByteArray &ivec, const bool &enc);
static bool evp_cbc_encrypt(const QByteArray &in, QByteArray &out, const QByteArray &key, const QByteArray &ivec, const bool &enc);
/**
* @brief 通用所有模式加解密,填充模式采用PKCS7,
* 对任意长度明文进行一次加解密,根据机器内存情况,尽量不要太长。
* @param in 输入数据
* @param out 输出结果
* @param key 密钥,长度必须是16/24/32字节,否则加密失败
* @param ivec 初始向量,长度必须是16字节,如果是ECB可以传一个空的
* @param enc true-加密,false-解密
* @param cipher 加解密模式(ECB-128、ECB-192、ECB-256、CBC-128、CBC-192....)
* @return 执行结果
*/
static bool evp_encrypt(const QByteArray &in, QByteArray &out, const QByteArray &key, const QByteArray &ivec, const bool &enc, const EVP_CIPHER *cipher);
};
#endif // WJPAES_H
详细实现见源码:
https://download.csdn.net/download/wu10188/89276012
已测试过接口,开箱即用。
五、测试结果:
1.加密:
// 点击了加密按钮,触发加密流程
void AESTestWidget::on_btnEncrypt_clicked()
{
//加密字符串
QByteArray encryptText;
QByteArray encryptTextBase64;
QByteArray key(ui->leEncryptKey->text().toUtf8());
QByteArray ivec(ui->leEncryptIV->text().toUtf8());
// 加密(将明文加密为二进制数据)
if(m_mode == "ECB")
{
//WJPAES::ecb_encrypt(ui->tePlaintext2Encrypt->toPlainText().toUtf8(), encryptText, key, true);
WJPAES::evp_ecb_encrypt(ui->tePlaintext2Encrypt->toPlainText().toUtf8(), encryptText, key, true);
}
else if(m_mode == "CBC")
{
WJPAES::cbc_encrypt(ui->tePlaintext2Encrypt->toPlainText().toUtf8(), encryptText, key, ivec, true);
//WJPAES::evp_cbc_encrypt(ui->tePlaintext2Encrypt->toPlainText().toUtf8(), encryptText, key, ivec, true);
}
// 对加密后的二进制数据进行base64编码
encryptTextBase64 = encryptText.toBase64();
ui->teCiphertextBase64->setText(QString::fromUtf8(encryptTextBase64));
ui->teCiphertextHex->setText(QString::fromUtf8(encryptText.toHex()));
}
CBC加密Demo:
key:H321jDtfnet@1279
初始向量:H321jDtfnet@1279
明文:床前明月光,疑是地上霜。 举头望明月,低头思故乡。-liBai
加密后得到的密文(base64):UG7NZA2BjdZirj0R8scTpFHbzobdQnmNEQjDoZCi2tallU7wxLJPQ0q4SViZIb3gwt+BxpkOrp3nwZeSWWG95hF6atwh+ZLdjustYDQxA9A=
2.解密:
// 点击了解密按钮,触发解密流程
void AESTestWidget::on_btnDecrypt_clicked()
{
//解密base64字符串
QByteArray decryptText;
QByteArray key(ui->leDecryptKey->text().toUtf8());
QByteArray ivec(ui->leDecryptIV->text().toUtf8());
// 解密(先将base64编码的密文转为二进制字节数据再解密)
if(m_mode == "ECB")
{
WJPAES::ecb_encrypt(QByteArray::fromBase64(ui->teCiphertext2Decrypt->toPlainText().toUtf8()),decryptText, key, false);
//WJPAES::evp_ecb_encrypt(QByteArray::fromBase64(ui->teCiphertext2Decrypt->toPlainText().toUtf8()),decryptText, key, false);
}
else if(m_mode == "CBC")
{
//WJPAES::cbc_encrypt(QByteArray::fromBase64(ui->teCiphertext2Decrypt->toPlainText().toUtf8()),decryptText, key, ivec, false);
WJPAES::evp_cbc_encrypt(QByteArray::fromBase64(ui->teCiphertext2Decrypt->toPlainText().toUtf8()),decryptText, key, ivec, false);
}
qDebug() << "解密结果:" << decryptText;
ui->tePlaintextByDecrypt->setText(QString::fromUtf8(decryptText));
}
CBC解密Demo:
key:H321jDtfnet@1279
初始向量:H321jDtfnet@1279
密文(base64):UG7NZA2BjdZirj0R8scTpFHbzobdQnmNEQjDoZCi2tallU7wxLJPQ0q4SViZIb3gwt+BxpkOrp3nwZeSWWG95hF6atwh+ZLdjustYDQxA9A=
解密后得到的明文:床前明月光,疑是地上霜。 举头望明月,低头思故乡。-liBai
Demo下载地址:
https://download.csdn.net/download/wu10188/89276012