Python加密库 Crypto.Cipher包中 ChaCha20 介绍

2023-03-08 10:36 由奋斗的小农发表于 #后端开发

该软件包包含用于保护机密性的算法的数据。Crypto.Cipher

有三种类型的加密算法：

对称密码：所有各方都使用相同的密钥解密和加密数据。对称密码通常非常快，可以处理非常大量的数据。
非对称密码：发送方和接收方使用不同的密钥。发送方使用公钥（非机密）加密，而接收方使用私钥（机密）解密。非对称密码通常非常慢，可以处理只有非常小的有效载荷。示例：PKCS#1 OAEP （RSA）。
混合密码：上述两种类型的密码可以组合使用在继承两者优点的结构中。 非对称密码用于保护短期对称键，和对称密码（在该密钥下）加密实际消息。

对称密码

有两种类型的对称密码：

流密码：最自然的密码类型：它们一次加密一个字节的数据。参见ChaCha20和XChaCha20和 Salsa20。
分组密码：只能以固定数量操作的密码的数据。最重要的分组密码是AES，它具有块大小为 128 位（16 字节）。

通常，分组密码通常仅与一种操作模式，允许加密可变数量的数据。某些模式（如点击率）可以有效地转动将分组密码转换为流密码。

广泛的共识是，密码提供只有机密性，没有任何形式的身份验证，是不可取的。相反，基元已被定义为集成对称加密和身份验证（MAC）。例如：

分组密码（如 GCM）的现代操作模式。
流密码与 MAC 函数配对，如 ChaCha20-Poly1305 和 XChaCha20-Poly1305。

ChaCha20 和 XChaCha20

ChaCha20是由Daniel J. Bernstein设计的流密码。密钥长度为 256 位（32 字节）。密码需要随机数，不得重复使用跨使用同一密钥执行的加密。

有三种变体，由随机数的长度定义：

随机数长度	描述	最大数据	如果随机随机数和相同的键
8 字节（默认）	由伯恩斯坦设计的原始ChaCha20。	无限制	最多 200 000 条消息
12 字节	RFC7539 中定义的 TLS ChaCha20。	256 千兆字节	最多 130 亿条消息
24 字节	XChaCha20，仍处于草稿阶段。	256 千兆字节	无限制

这是ChaCha20（Bernstein的版本）如何加密数据的一个例子：

import json
from base64 import b64encode
from Crypto.Cipher import ChaCha20
from Crypto.Random import get_random_bytes

plaintext = b'Attack at dawn'
key = get_random_bytes(32)
cipher = ChaCha20.new(key=key)
ciphertext = cipher.encrypt(plaintext)

nonce = b64encode(cipher.nonce).decode('utf-8')
ct = b64encode(ciphertext).decode('utf-8')
result = json.dumps({'nonce':nonce, 'ciphertext':ct})
print(result)
{"nonce": "IZScZh28fDo=", "ciphertext": "ZatgU1f30WDHriaN8ts="}
这就是您解密它的方式：

import json
from base64 import b64decode
from Crypto.Cipher import ChaCha20

# We assume that the key was somehow securely shared
try:
    b64 = json.loads(json_input)
    nonce = b64decode(b64['nonce'])
    ciphertext = b64decode(b64['ciphertext'])
    cipher = ChaCha20.new(key=key, nonce=nonce)
    plaintext = cipher.decrypt(ciphertext)
   print("The message was " + plaintext)
except (ValueError, KeyError):
    print("Incorrect decryption")
为了拥有符合 RFC7539 标准的 ChaCha20 密码， 您需要显式生成 96 位（12 字节）参数并将其传递给：noncenew()

nonce_rfc7539 = get_random_bytes(12)
cipher = ChaCha20.new(key=key, nonce=nonce_rfc7539)

警告

ChaCha20不保证您解密的数据的真实性！换句话说，攻击者可能会操纵传输中的数据。为了防止这种情况，您还必须使用消息身份验证 用于验证密文的代码（如 HMAC）（加密然后 Mac）。或者，您可以使用ChaCha20_Poly1305。

.classCrypto.Cipher.ChaCha20.ChaCha20Cipher(键，随机数)

ChaCha20（或XChaCha20）密码对象。不要直接创建它。请改用 new（）。

变量：	随机数 (字节）– 长度为 8、12 或 24 字节的随机数

decrypt(密文，输出=无)

解密一段数据。

关键字参数：
参数：	密文 (字节/字节数组/内存视图）– 要解密的数据，任何大小。
	输出 (字节/字节数组/内存视图）– 明文的位置被写到。如果为，则返回明文。`None`
返回：	如果是，则明文返回为。否则。`outputNonebytesNone`

encrypt(纯文本，输出 = 无)

加密一段数据。

关键字参数：
参数：	明文 (字节/字节数组/内存视图）– 要加密的数据，任何大小。
	输出 (字节/字节数组/内存视图）– 密文的位置被写到。如果为，则返回密文。`None`
返回：	如果是，则密文返回为。否则。`outputNonebytesNone`

seek(位置)

查找密钥流中的某个位置。

参数：	位置 (整数）– 密钥流中的绝对位置，以字节为单位。

Crypto.Cipher.ChaCha20.new(**夸格斯)

创建新的 ChaCha20 或 XChaCha20 密码

关键字参数：

关键字参数：
	key （bytes/bytearray/memoryview） – 要使用的密钥。它必须为 32 字节长。 nonce（bytes/bytearray/memoryview） – 强制值不得重用于任何其他加密使用此密钥完成。对于 ChaCha20，它必须为 8 或 12 个字节。对于 XChaCha20，它必须为 24 字节长。如果未提供，将随机生成 8 个字节（您可以在属性中找到它们）。`nonce`
返回：	一个 `Crypto.Cipher.ChaCha20.ChaCha20Cipher` 对象

key （bytes/bytearray/memoryview） – 要使用的密钥。它必须为 32 字节长。
nonce（bytes/bytearray/memoryview） –
强制值不得重用于任何其他加密使用此密钥完成。

对于 ChaCha20，它必须为 8 或 12 个字节。

对于 XChaCha20，它必须为 24 字节长。

如果未提供，将随机生成 8 个字节（您可以在属性中找到它们）。nonce

一个 Crypto.Cipher.ChaCha20.ChaCha20Cipher 对象

转载：ChaCha20 和 XChaCha20 — PyCryptodome 3.17.0 文档

ChaCha20-Poly1305 和 XChaCha20-Poly1305

ChaCha20-Poly1305 是具有关联数据（AEAD）的经过身份验证的密码。它与一个 32 字节的密钥和一个随机数一起工作绝不能在同一密钥下执行的加密中重复使用。密码生成一个 16 字节标记，接收方必须使用该标记来验证消息。

该算法有三种变体，由随机数的长度定义：

随机数长度	描述	最大明文数	如果随机随机数和相同的键
8 字节	基于伯恩斯坦的原始ChaCha20。	无限制	最多 200 000 条消息
12 字节（默认）	在 TLS 中使用并在 RFC7539 中指定的版本。	256 千兆字节	最多 130 亿条消息
24 字节	XChaCha20-Poly1305，仍处于草稿阶段。	256 千兆字节	无限制

密码的 API 及其有限状态机与分组密码的现代操作模式相同。

通过调用 Crypto.Cipher.ChaCha20_Poly1305.new（） 创建新密码。

以下是 ChaCha20-Poly1305（TLS 版本）如何加密和验证数据的示例：

 import json
 from base64 import b64encode
 from Crypto.Cipher import ChaCha20_Poly1305
 from Crypto.Random import get_random_bytes

 header = b"header"
 plaintext = b'Attack at dawn'
 key = get_random_bytes(32)
 cipher = ChaCha20_Poly1305.new(key=key)
 cipher.update(header)
 ciphertext, tag = cipher.encrypt_and_digest(plaintext)

 jk = [ 'nonce', 'header', 'ciphertext', 'tag' ]
 jv = [ b64encode(x).decode('utf-8') for x in (cipher.nonce, header, ciphertext, tag) ]
 result = json.dumps(dict(zip(jk, jv)))
 print(result)
{"nonce": "4EE/9uqhoZ3mQXmm", "header": "aGVhZGVy", "ciphertext": "Wmmo4Vzn+eS3tUPv2a8=", "tag": "/FgVbM8qhzssPRY80T0iVA=="}
在上面的示例中，会自动创建一个 96 位（12 字节）随机数。 可以将其作为对象中的成员进行访问。noncecipher

这是您解密数据并检查其真实性的方式：

 import json
 from base64 import b64decode
 from Crypto.Cipher import ChaCha20_Poly1305

 # We assume that the key was securely shared beforehand
 try:
     b64 = json.loads(json_input)
     jk = [ 'nonce', 'header', 'ciphertext', 'tag' ]
    jv = {k:b64decode(b64[k]) for k in jk}

    cipher = ChaCha20_Poly1305.new(key=key, nonce=jv['nonce'])
    cipher.update(jv['header'])
    plaintext = cipher.decrypt_and_verify(jv['ciphertext'], jv['tag'])
    print("The message was: " + plaintext)
 except (ValueError, KeyError):
    print("Incorrect decryption")

.classCrypto.Cipher.ChaCha20_Poly1305.ChaCha20Poly1305Cipher(键，随机数)¶

ChaCha20-Poly1305 和 XChaCha20-Poly1305 密码对象。不要直接创建它。请改用 new（）。

变量：	随机数 (字节字符串）– 长度为 8、12 或 24 字节的随机数

decrypt(密文，输出=无)¶

解密一段数据。

关键字参数：
参数：	密文 (字节/字节数组/内存视图）– 要解密的数据，任何大小。
	输出 (字节/字节数组/内存视图）– 明文的位置被写到。如果为，则返回明文。`None`
返回：	如果是，则明文返回为。否则。`outputNonebytesNone`

decrypt_and_verify(密文，received_mac_tag)¶

一步执行 decrypt（） 和 verify（）。

参数：	密文（字节/字节数组/内存视图）– 要解密的数据片段。 received_mac_tag（字节）— 这是从发送方接收的 16 字节二进制 MAC。
返回：	解密的数据（作为`bytes`)
提高：	值错误 – 如果 MAC 不匹配。邮件已被篡改或者密钥不正确。

digest()¶

计算二进制身份验证标记（MAC）。

返回：	MAC 标记，作为 16 .`bytes`

encrypt(纯文本，输出 = 无)¶

加密一段数据。

关键字参数：
参数：	明文 (字节/字节数组/内存视图）– 要加密的数据，任何大小。
	输出 (字节/字节数组/内存视图）– 密文的位置被写到。如果为，则返回密文。`None`
返回：	如果是，则密文返回为。否则。`outputNonebytesNone`

encrypt_and_digest(明文)¶

在一个步骤中执行 encrypt（） 和 digest（）。

参数：	明文 (字节/字节数组/内存视图）– 要加密的数据，任何大小。
返回：	包含两个对象的元组：`bytes` 密文，长度与明文相同 16 字节 MAC 标签

hexdigest()¶

计算可打印的身份验证标记（MAC）。

此方法类似于摘要（）。

返回：	MAC 标记，作为十六进制字符串。

hexverify(hex_mac_tag)¶

验证可打印的身份验证标记（MAC）。

此方法类似于 verify（）。

提高值错误：
参数：	hex_mac_tag (字符串）– 这是可打印的 MAC。
	如果 MAC 不匹配。邮件已被篡改或者密钥不正确。

update(数据)¶

保护关联的数据。

关联数据（也称为其他经过身份验证的数据 - AAD）是必须保持清晰的信息部分，而仍然允许接收器验证其完整性。数据包标头就是一个例子。

关联的数据（可能拆分为多个段）为在调用 decrypt（）或 encrypt（）之前输入到 update（） 中。如果没有关联的数据，则不调用 update（）。

参数：	assoc_data (字节/字节数组/内存视图）– 一段关联数据。它的大小没有限制。

verify(received_mac_tag)¶

验证二进制身份验证标记（MAC）。

接收方在最后调用此方法，检查相关数据（如果有）和解密消息有效。

提高值错误：
参数：	received_mac_tag (字节/字节数组/内存视图）– 这是从发送方收到的 16 字节二进制 MAC。
	如果 MAC 不匹配。邮件已被篡改或者密钥不正确。

Crypto.Cipher.ChaCha20_Poly1305.new(**夸格斯)¶

创建新的 ChaCha20-Poly1305 或 XChaCha20-Poly1305 AEAD 密码。

关键字参数：
	key – 要使用的密钥。它必须为 32 字节长。随机数 – 不得重用于任何其他加密的值使用此密钥完成。对于 ChaCha20-Poly1305，它的长度必须为 8 或 12 个字节。对于 XChaCha20-Poly1305，它必须为 24 字节长。如果未提供，将随机生成 12 个（您可以在属性中找到它们）。`bytesnonce`
返回：	一个对象`Crypto.Cipher.ChaCha20.ChaCha20Poly1305Cipher`