PostgreSQL（十三）pgcrypto 扩展实现 AES、PGP 加密，并自定义存储过程

- 一、pgcrypto 简介
- - 1.1 安装 pgcrypto 扩展
  - 1.2 pgcrypto 包含的函数
- 二、用法①：对称加密（使用 AES、Blowfish 算法）
- - 2.1 密钥
  - 2.2 密钥+偏移量
- 三、用法②：PGP加解密
- - 3.1 什么是PGP算法？
  - 3.2 使用 GPG 生成密钥对
  - 3.3 列举密钥对
  - 3.4 导出公钥、私钥
  - 3.5 使用 pgcrypto 进行 PGP 加解密
- 四、自定义存储过程
- - 4.1 AES 加密的存储过程
  - 4.2 AES 解密的存储过程
- 五、补充
- - 5.1 报错：Postgresql Error: Corrupt ascii-armor
  - 5.2 在线生成 PGP 密钥对网址推荐

背景：

在我们的日常开发中，对安全级别要求较高的项目，对敏感数据都要求加密保存。
在 PostgreSQL 中，可以使用 pgcrypto 扩展来实现 AES 和 RSA 加密，下面我们来介绍一下详细的步骤和方法。

pgcrypto官方文档： https://www.postgresql.org/docs/13/pgcrypto.html
pgcrypto中文文档： http://www.postgres.cn/docs/13/pgcrypto.html

一、pgcrypto 简介

1.1 安装 pgcrypto 扩展

首先，需要确保 pgcrypto 扩展已安装。可以使用以下命令在数据库中安装：

CREATE EXTENSION pgcrypto;

1.2 pgcrypto 包含的函数

function armor(data bytea) returns text
function armor(data bytea, keys text[], values text[]) returns text
function crc32
function crypt(password text, salt text) returns text
function date_format
function dearmor(data text) returns bytea
function decrypt(data bytea, key bytea, type text) returns bytea
function decrypt_iv(data bytea, key bytea, iv bytea, type text) returns bytea
function digest(data text, type text) returns bytea
function digest(data bytea, type text) returns bytea
function encrypt(data bytea, key bytea, type text) returns bytea
function encrypt_iv(data bytea, key bytea, iv bytea, type text) returns bytea
function gen_random_bytes(count integer) returns bytea
function gen_random_uuid() returns uuid
function gen_salt(type text) returns text
function gen_salt(type text, iter_count integer) returns text
function generate_19bit_timestamp_key
function hmac(data text, key text, type text) returns bytea
function hmac(data bytea, key bytea, type text) returns bytea
function if
function ifnull
function int2interval
function pgp_armor_headers(data text, key out text, value out text) returns setof record
function pgp_key_id(bytea) returns text
function pgp_pub_decrypt(msg bytea, key bytea) returns text
function pgp_pub_decrypt(msg bytea, key bytea, psw text) returns text
function pgp_pub_decrypt(msg bytea, key bytea, psw text, options text) returns text
function pgp_pub_decrypt_bytea(msg bytea, key bytea) returns bytea
function pgp_pub_decrypt_bytea(msg bytea, key bytea, psw text) returns bytea
function pgp_pub_decrypt_bytea(msg bytea, key bytea, psw text, options text) returns bytea
function pgp_pub_encrypt(data text, key bytea) returns bytea
function pgp_pub_encrypt(data text, key bytea, options text) returns bytea
function pgp_pub_encrypt_bytea(data bytea, key bytea) returns bytea
function pgp_pub_encrypt_bytea(data bytea, key bytea, options text) returns bytea
function pgp_sym_decrypt(msg bytea, psw text) returns text
function pgp_sym_decrypt(msg bytea, psw text, options text) returns text
function pgp_sym_decrypt_bytea(msg bytea, psw text) returns bytea
function pgp_sym_decrypt_bytea(msg bytea, psw text, options text) returns bytea
function pgp_sym_encrypt(data text, psw text) returns bytea
function pgp_sym_encrypt(data text, psw text, options text) returns bytea
function pgp_sym_encrypt_bytea(data bytea, psw text) returns bytea
function pgp_sym_encrypt_bytea(data bytea, psw text, options text) returns bytea
function str_to_date
function update_triggers_t_open_contract_event

二、用法①：对称加密（使用 AES、Blowfish 算法）

2.1 密钥

使用 pgcrypto 扩展进行对称加密（AES）的示例SQL如下：

-- 加密（密钥）
SELECT encrypt('Hello World', 'y_secret_key', 'aes');
-- 解密（密钥）
SELECT decrypt(encrypt('Hello World', 'y_secret_key', 'aes'), 'y_secret_key', 'aes');

-- 补充：16进制转换
SELECT decode(encode('Hello World', 'hex'), 'hex');
-- 补充：Base64转换
SELECT decode(encode('Hello World', 'base64'), 'base64');

执行结果：

在这里插入图片描述

y_secret_key：定制密钥，用于加解密。
encrypt(加密内容, 密钥, 加密算法)：加密函数，返回密文内容。
decrypt(加密内容, 密钥, 加密算法)：解密函数，返回明文内容。
aes：加密算法，语法为 algorithm[-mode][/pad:padding]，其中变量可选值如下：

algorithm：
- bf – Blowfish
- aes – AES (Rijndael-128, -192 或 -256)
mode：
- cbc – 下一个块依赖前一个（默认）
- ecb – 每一个块被独立加密（只用于测试）
padding：
- pkcs – 数据可以是任意长度（默认）
- none – 数据必须是密码块尺寸的倍数

因此，例如下面这两个用例是等效的：

encrypt(data, 'fooz', 'aes')
encrypt(data, 'fooz', 'aes-cbc/pad:pkcs')

2.2 密钥+偏移量

AES 加解密一般使用的是 密钥 + 偏移量 的方式来进行加解密的，使用 pgcrypto 扩展的实现方式如下：

-- 加密（密钥+偏移量）
SELECT encrypt_iv('Hello World', 'y_secret_key', 'y_secret_iv', 'aes');
-- 加密 + 字节转16进制：8cf41e62e0319d19cb6cc515ca453ba8
SELECT encode(encrypt_iv('Hello World', 'y_secret_key', 'y_secret_iv', 'aes'), 'hex');
-- 加密 + 字节转16进制 + 转大写：8CF41E62E0319D19CB6CC515CA453BA8
SELECT upper(encode(encrypt_iv('Hello World', 'y_secret_key', 'y_secret_iv', 'aes'), 'hex'));

-- 解密（密钥+偏移量）
SELECT decrypt_iv(encrypt_iv('Hello World', 'y_secret_key', 'y_secret_iv', 'aes'), 'y_secret_key', 'y_secret_iv', 'aes');
-- 16进制转字节（不区分大小写） + 解密
SELECT decrypt_iv(decode('8CF41E62E0319D19CB6CC515CA453BA8', 'hex'), 'y_secret_key', 'y_secret_iv', 'aes');

执行结果：

在这里插入图片描述

三、用法②：PGP加解密

3.1 什么是PGP算法？

PGP（Pretty Good Privacy） 是一种 用于数据加密和解密 的技术，于 1991 年开发。

PGP 使用 混合加密技术，结合了对称加密和非对称加密的优点，提供了一种高效且安全的数据加密解决方案。

3.2 使用 GPG 生成密钥对

GPG（GNU Privacy Guard） 是 GNU 项目的一部分，他是 PGP 的一个开源实现。

大部分 Linux 系统（包括 Git Bash）中都默认集成了 GPG 工具。

注意： 大家不要搞混了，GPG 是用于实现 PGP 的一个开源工具。

我们可以使用 GPG 工具生成密钥对，命令如下所示：

# 生成密钥对（注意：Real name 要求不能是数字开头，长度不能小于5位！）
gpg --gen-key

执行结果：

从下图可以看到，执行命令之后需要输入很多信息用于生成密钥对。

3.3 列举密钥对

使用 GPG 工具列举密钥对的命令如下：

# 列举密钥对（这里的 KEYID 就是前面的 Real name）
gpg -a --export KEYID > public.key

执行结果：

可以看到，成功列举出来我们刚才生成的密钥对。

3.4 导出公钥、私钥

以 ASCII-armored 格式导出一个公钥，命令如下：

# 导出公钥（这里的 KEYID 就是前面的 Real name）
gpg -a --export KEYID > public.key
# 查看公钥
cat public.key

以 ASCII-armored 格式导出一个私钥，命令如下：

# 导出私钥（这里的 KEYID 就是前面的 Real name）
gpg -a --export-secret-keys KEYID > secret.key
# 查看私钥
cat secret.key

注意： 在把这些密钥交给 PGP 函数之前，你需要对它们使用 dearmor()。或者如果你能处理二进制数据，你可以从命令中去掉 -a。

3.5 使用 pgcrypto 进行 PGP 加解密

在 PGSQL 中，我们可以使用 pgcrypto 扩展来实现 PGP 加密，命令如下：

# 加密（公钥加密）
select pgp_pub_encrypt('Hello', dearmor('公钥'));
# 加密 + 字节转16进制
select encode(pgp_pub_encrypt('Hello', dearmor('公钥')), 'hex');

# 解密（私钥解密）
select pgp_pub_decrypt('密文'), dearmor('私钥'));
# 16进制转字节 + 解密
select pgp_pub_decrypt(decode('密文', 'hex'), dearmor('私钥'));

dearmor()：与之配对的是 armor() 函数。armor() 和 dearmor() 函数把二进制数据 包装 / 解包 成 PGP ASCII-armor 格式。这种格式基本上是带有 CRC 和额外格式化的 Base64。

补充：代码中的 密文、 公钥 和 私钥 需要调整为具体的值，由于密钥篇幅较长，单独在下面提供了密钥对Demo。

公钥Demo：

私钥Demo：

四、自定义存储过程

这里我们以 AES 加密方式举例。

4.1 AES 加密的存储过程

SQL如下：

CREATE OR REPLACE FUNCTION aes_encrypt(intext character varying)
 RETURNS text
 LANGUAGE plpgsql
AS $function$
	BEGIN
		RETURN upper(encode(encrypt_iv(intext::bytea, 'key_111', 'iv_222', 'aes'), 'hex'))::text;
	END;
$function$
;

执行结果：

在这里插入图片描述

4.2 AES 解密的存储过程

SQL如下：

CREATE OR REPLACE FUNCTION aes_decrypt(intext text)
 RETURNS text
 LANGUAGE plpgsql
AS $function$
	BEGIN
		RETURN encode(decrypt_iv(decode(intext, 'hex'), 'key_111', 'iv_222', 'aes'), 'escape');
	END;
$function$
;

escape 编码格式主要用于将二进制数据转换为可以在文本环境中安全传输和存储的形式。例如，在 SQL 查询中嵌入二进制数据时，使用 escape 编码可以避免特殊字符引起的问题。

执行结果：

在这里插入图片描述

五、补充

5.1 报错：Postgresql Error: Corrupt ascii-armor

如果出现报错 Postgresql Error: Corrupt ascii-armor，则说明密钥格式错误，建议采用标准的 PGP 密钥对。

5.2 在线生成 PGP 密钥对网址推荐

网址： https://www.jashtool.com/generate/pgp-key

整理完毕，完结撒花~ 🌻

参考地址：
1.PostgreSQL 如何有效地处理数据的加密和解密，https://blog.csdn.net/sdasdas12/article/details/140268016
2.GnuPG用法，https://blog.csdn.net/weixin_45895555/article/details/109906607