如何使用加密算法保护敏感数据

加密是使用算法将明文转换为密文的过程，以防止未经授权的访问。

加密分为两种类型：

1、对称密钥加密

2、非对称加密（公钥加密）

加密算法的工作原理

加密算法是一种将明文转换为密文的数学函数，加密算法通常使用密钥来执行加密和解密操作。

1、加密过程

加密过程分为两个步骤：

明文输入：将明文输入到加密算法中。

密文输出：加密算法使用密钥对明文执行一系列复杂的数学运算，并将输出结果作为密文。

密文是加密算法输出的结果，它是用密钥加密后的明文，密文通常是无法直接读取的。

2、解密过程

解密过程与加密过程相反，它分为两个步骤：

密文输入：将密文输入到解密算法中。

明文输出：解密算法使用密钥对密文执行一系列复杂的数学运算，并将输出结果作为明文。

3、安全性

加密算法的安全性取决于密钥的强度，如果密钥足够强，则无法使用暴力破解等方法来破解密文。

4、应用

加密算法广泛应用于各种领域，包括网络安全、数据保护、身份认证等。

对称密钥加密

对称密钥加密是一种使用相同密钥进行加密和解密的数据加密方法。对称密钥加密通常用于大量数据的加密，因为它速度快且效率高。

对称密钥加密有两种主要类型：分组密码和流密码。

1、分组密码

分组密码使用密钥对固定大小的块（例如，64 或 128 位）中的数据进行加密。分组密码广泛用于各种应用，包括网络安全、数据库加密和文件加密。

常见的分组密码包括：

高级加密标准 (AES)：AES 是最常用的分组密码，它支持 128、192 或 256 位的密钥长度。

三重 DES (3DES)：3DES 是 DES 的三重迭代版本，它提供了更高的安全性。

国际数据加密算法 (IDEA)：IDEA 是一种快速有效的密码，但它已被 AES 取代。

2、流密码

流密码通常在连续流中逐位或逐字节加密数据。流密码通常用于实时应用，例如网络传输和音频/视频加密。

常见的流密码包括：

Rivest 密码 (RC4)：RC4 是最常用的流密码，它速度快且效率高。

无线局域网安全 (WEP)：WEP 是一种用于无线局域网 (WLAN) 的流密码，但它已被 WPA 和 WPA2 取代。

安全套接字层 (SSL)：SSL 是一种用于加密网络通信的协议，它使用流密码来保护数据。

示例：AES（高级加密标准）

function encrypt($data="", $key="") {
    $iv = openssl_random_pseudo_bytes(openssl_cipher_iv_length("aes-256-cbc")); // 动态 iv （我们也可以设置静态 iv）
    $encrypted = openssl_encrypt($data, "aes-256-cbc", $key, 0, $iv);
    return base64_encode($iv . '!!' . $encrypted);
}
function decrypt( $data="", $key="") {
    list($iv, $encryptedData) = explode('!!', base64_decode($data), 2);
    return openssl_decrypt($encryptedData, "aes-256-cbc", $key, 0, $iv);
}

$plainData = [
    'email' => 'codewithrubab@gmail.com',
    'password' => 'codeOn@Vscode2024';
];
$saltKey = "asdckd44dbc228e16c2888436d17a";

$encryptedData = encrypt(json_encode($plainData), $saltKey);
echo $encryptedData;
$decryptedData = decrypt($encryptedData, $saltKey);
print_r($decryptedData);

注意：如果我们需要在相同的纯文本上重新生成相同的加密数据，那么需要始终使用相同的 Salt Key 和 IV。否则，输出将会不同。

非对称加密（公钥加密）：

它使用两种不同的密钥：用于加密的公钥和用于解密的私钥。

我们不用安全密钥交换来加密，因为它比对称加密慢，但对于数字签名和身份验证很有用，

常见的公钥加密技术：RSA、ECC（椭圆曲线加密）、Diffie-Hellman。

下面是一个关于 RSA 算法的示例。

如果我们没有公钥和私钥，可以从命令行界面生成。

对于目录中的私钥文件生成：

openssl genrsa -out privateKey.pem 2048

对于公钥：

openssl rsa -in privateKey.pem -pubout

这里，privateKey.pem和privateKey.pem是生成的文件名。

生成的公钥是 RSA 结果。

私钥不是 RSA 结果，为了使其成为 RSA 结果，还需要编写一些代码。

首先，将此包安装到Laravel项目中。

Composer require "phpseclib/phpseclib": "~2.0"

use phpseclib\Crypt\RSA;


// 私钥: pem 转换为 rsa 代码
$privateKey = '设置pem文件数据';
$rsa = new RSA();
$rsa->loadKey($privateKey);
$rsaPrivateKey = $rsa->getPrivateKey();
dd($rsaPrivateKey);

此外，如果我们需要将公钥从 pem 转换为 RSA，那么我们可以使用此代码进行转换。

// 公钥: pem 转换为 rsa.
$publicKey = '设置pem文件数据';
$rsa = new RSA();
$rsa->loadKey($publicKey);
$rsa->setPublicKey($publicKey);
$rsaPublicKey = $rsa->getPublicKey();
dd($rsaPublicKey);

让我们看看非对称加密的现实实现：

商家与银行进行交易时，需要使用公钥加密和私钥解密来保护数据的安全。

银行向商家提供公钥，商家将公钥分享给银行。商家使用私钥加密交易请求数据，并将加密的数据发送给银行。银行使用商家提供的公钥解密数据。

银行处理数据后，使用私钥向商家发送加密响应。商家使用银行的公钥解密响应，以获得简单的回复。

此外，银行还要求商家在每个交易请求中发送签名。商家使用私钥和 PKCS1Padding 算法来解密已解码的敏感数据。签名使用 SHA256withRSA 签名算法生成。

现在将进行 api 调用以向银行端发起交易。

public  function signatureGenerate($data){
   $private_key = "-----您的RSA私钥-----";
   openssl_sign(json_encode($data), $signature, $private_key, OPENSSL_ALGO_SHA256);
   return base64_encode($signature);
}   


public function encryptDataWithPublicKey($data){
   $public_key = "-----您的公钥-----";
   openssl_public_encrypt(json_encode($data), $encryptedData, $public_key, OPENSSL_PKCS1_PADDING);
   return base64_encode($encryptedData);
}


public function decryptDataWithPrivateKey($cryptText){
   $private_key = "-----您的RSA 私钥-----";
   openssl_private_decrypt(base64_decode($cryptText), $plainText, $private_key, OPENSSL_PKCS1_PADDING);
   return json_decode($plainText, true);
}


public function HttpPostMethod($postURL, $postData, $authToken = null)
{
   try {
       $curl = curl_init($postURL);
       $postData = json_encode($postData);
       $header = array(
           'Content-Type:application/json'
       );
      
       if($authToken){
           $header[] = 'token:' . $authToken;
       }


       curl_setopt($curl, CURLOPT_HTTPHEADER, $header);
       curl_setopt($curl, CURLOPT_CUSTOMREQUEST, "POST");
       curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
       curl_setopt($curl, CURLOPT_POSTFIELDS, $postData);
       curl_setopt($curl, CURLOPT_FOLLOWLOCATION, 1);
       curl_setopt($curl, CURLOPT_SSL_VERIFYHOST, 0);
       curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, 0);


       $resultdata = curl_exec($curl);


       $err = curl_error($curl);
       $code = curl_getinfo($curl, CURLINFO_HTTP_CODE);
       $curlErrorNo = curl_errno($curl);


       $ResultArray = json_decode($resultdata, true);
       curl_close($curl);
       return $ResultArray;
   } catch (\Exception $exception) {
       echo '无法与银行连接，请稍后再试';
       exit;
   }


}


initTransaction($merchantId, $merchantAccountNumber, $orderId){
   $postUrl = 'api.your-bank.com/api/payment/initialize';
   $plainData = array(
       'merchant_id' => $merchantId,
       'order_id' => $orderId
   );
   $postData = array(
       'account_number' => $merchantAccountNumber,
       'sensitiveData' => $this->encryptDataWithPublicKey($sensitiveData),
       'signature' => $this->signatureGenerate($sensitiveData)
   );


   return $this->HttpPostMethod($postUrl, $postData);
}
$encryptedResponse = $this->initTransaction('MER1234', 'ACC12345', 'ORD123456');
$plainResponse = $this->decryptDataWithPrivateKey($encryptedResponse['sensitiveData']);
dd($plainResponse);

选择加密算法时要考虑的事项：

1、需要的安全级别。

2、加密和解密的速度。

3、密钥管理复杂性。

4、资源限制。

使用加密算法的地方

1、安全通信（例如电子邮件、VPN）

2、数据存储（例如数据库、文件系统）

3、金融交易（例如网上银行）

4、密码保护

5、数字签名