.NET 中的 RSA 加密/解密问题

Posted 2023-03-28

【中文标题】.NET 中的 RSA 加密/解密问题

【英文标题】：RSA Encrypt / Decrypt Problem in .NET

【发布时间】：2011-01-29 08:54:59

【问题描述】：

我在使用 RSA 进行 C# 加密和解密时遇到问题。我开发了一个 Web 服务，它将发送敏感的财务信息和交易。我想做的是在客户端，使用客户端 RSA 私钥加密某些字段，一旦它到达我的服务，它将使用客户端公钥解密。

目前我不断收到“要解密的数据超过此 128 字节模数的最大值”。例外。我对 C# RSA 密码学的处理不多，因此我们将不胜感激。

这是我用来生成密钥的方法

private void buttonGenerate_Click(object sender, EventArgs e)

    string secretKey = RandomString(12, true);

    CspParameters param = new CspParameters();
    param.Flags = CspProviderFlags.UseMachineKeyStore;

    SecureString secureString = new SecureString();
    byte[] stringBytes = Encoding.ASCII.GetBytes(secretKey);
    for (int i = 0; i < stringBytes.Length; i++)
    
        secureString.AppendChar((char)stringBytes[i]);
    
    secureString.MakeReadOnly();
    param.KeyPassword = secureString;

    RSACryptoServiceProvider rsaProvider = new RSACryptoServiceProvider(param);
    rsaProvider = (RSACryptoServiceProvider)RSACryptoServiceProvider.Create();
    rsaProvider.KeySize = 1024;


    string publicKey = rsaProvider.ToXmlString(false);
    string privateKey = rsaProvider.ToXmlString(true);

    Repository.RSA_XML_PRIVATE_KEY = privateKey;
    Repository.RSA_XML_PUBLIC_KEY = publicKey;

    textBoxRsaPrivate.Text = Repository.RSA_XML_PRIVATE_KEY;
    textBoxRsaPublic.Text = Repository.RSA_XML_PUBLIC_KEY;

    MessageBox.Show("Please note, when generating keys you must sign on to the gateway\n" +
        " to exhange keys otherwise transactions will fail", "Key Exchange", MessageBoxButtons.OK, MessageBoxIcon.Information);

生成密钥后，我将公钥发送到将其存储为 XML 文件的 Web 服务。

现在我决定测试一下，所以这是我加密字符串的方法

public static string RsaEncrypt(string dataToEncrypt)

    string rsaPrivate = RSA_XML_PRIVATE_KEY;
    CspParameters csp = new CspParameters();
    csp.Flags = CspProviderFlags.UseMachineKeyStore;

    RSACryptoServiceProvider provider = new RSACryptoServiceProvider(csp);

    provider.FromXmlString(rsaPrivate);

    ASCIIEncoding enc = new ASCIIEncoding();
    int numOfChars = enc.GetByteCount(dataToEncrypt);
    byte[] tempArray = enc.GetBytes(dataToEncrypt);
    byte[] result = provider.Encrypt(tempArray, true);
    string resultString = Convert.ToBase64String(result);
    Console.WriteLine("Encrypted : " + resultString);
    return resultString;

我确实得到了似乎是加密的值。在我创建的测试加密 Web 方法中，然后我获取此加密数据，尝试使用客户端公钥解密数据并将其以明文形式发回。但这是引发异常的地方。这是我负责的方法。

public string DecryptRSA(string data, string merchantId)

    string clearData = null;
    try
    
        CspParameters param = new CspParameters();
        param.Flags = CspProviderFlags.UseMachineKeyStore;
        RSACryptoServiceProvider rsaProvider = new RSACryptoServiceProvider(param);

        string merchantRsaPublic = GetXmlRsaKey(merchantId);
        rsaProvider.FromXmlString(merchantRsaPublic);
        byte[] asciiString = Encoding.ASCII.GetBytes(data);

        byte[] decryptedData = rsaProvider.Decrypt(asciiString, false);

        clearData = Convert.ToString(decryptedData);
    
    catch (CryptographicException ex)
    
        Log.Error("A cryptographic error occured trying to decrypt a value for " + merchantId, ex);

    
    return clearData;

如果有人可以帮助我，那就太好了，正如我所说，我在 C# RSA 加密/解密方面做得不多。

【问题讨论】：

最近 RSA 加密被破解的事情对你有影响吗？ engadget.com/2010/03/09/…

RSA 未破解。在实际系统中，只有它的实现会受到侧信道攻击：该实现可能会通过功耗、时序和其他不属于抽象的物理措施泄露私钥信息电脑的型号。这已经有很长一段时间了（我认为在 1997 年描述了定时攻击）。这样的新闻不是新闻，也不是真正的“裂缝”。

【参考方案1】：

请允许我使用一些术语。有非对称加密，还有数字签名。

非对称加密是为了保持机密性。一些敏感数据被转换成不可读的东西，除了知道解密密钥的实体。解密密钥必然是私钥：如果解密密钥是公钥，那么每个人都可以解密数据（公钥是公开的）并且不再有保密性。在非对称加密中，用公钥加密，用对应的私钥解密。

数字签名旨在证明完整性。有人在数据上计算一种键控校验和，以便以后可以验证校验和与数据之间的链接。这是一个“签名”，只是因为计算校验和的能力需要知道一些不公开的东西——简单来说，签名使用 private 密钥。但是，任何人都应该可以进行验证，因此使用公钥。

“RSA”算法实际上是一种数学运算，可以分解为非对称加密系统和数字签名系统，这一事实暗示了相当多的混淆。 RSA 标准又名PKCS#1 进一步加剧了这种混淆，它隐含地依赖于 RSA 数字签名的首次描述方式，即作为“反向加密”（“签名者使用他的私钥加密数据”）。这导致诸如称为“sha1WithRSAEncryption”的RSA签名之类的东西。这很不幸。

因此，您必须首先决定是否需要保密或签名。为保密起见，对于从客户端发送到服务器的数据，服务器应拥有私钥，客户端使用服务器公钥来加密数据。对于签名，每个客户端都有自己的私钥，并用它来对数据进行签名，服务器验证签名。由于我在上面提到的混乱，从你的描述中我无法判断你真正追求的是什么。

此外，还有一种称为身份验证的东西，它可能看起来像数字签名，但更弱。签名的意义在于任何人都可以验证签名。特别是，签名可以显示给法官，因此可以作为反对签名者的法律武器（签名具有法律约束力——至少如果你做得对，并且在当前的法规状态下通过电子签名，这并不容易）。在大多数情况下，您只需要更弱和更简单的东西，其中服务器确信它与正确的客户端对话，但事后无法说服其他任何人该客户端确实存在。任何有用户密码的网站都在使用这种身份验证。

话虽这么说......

RSA 非对称加密仅涵盖短消息。对于 1024 位 RSA 密钥（即其中最重要的部分“RSA 模数”是一个数值在 2^1023 和 2^1024 之间的大数字，加密消息的长度为 128 字节的密钥），加密消息的最大大小为 117 个字节（这是错误消息的实际来源）。当我们想要发送更长的消息时，我们会使用混合系统，其中我们只加密一小部分随机位（比如 128 位），并将该束用作对称加密系统的密钥（例如 AES），它可以处理更长的消息（也更快）。

类似地，RSA 签名只能在短消息上计算，因此 PKCS#1 标准要求签名实际上是在哈希值上计算的。哈希值是特定 哈希函数 的输出，它是根据要签名的消息计算得出的。散列函数具有固定大小的输出（例如 SHA-256 的 256 位），但接受（几乎）任意长度的输入消息。散列函数是公共的（其中没有密钥），并且为了适当的安全性，必须具有一些特殊属性。 SHA-256 现在是一个不错的选择。 SHA-1（SHA-256 的前身）已被证明有一些弱点，应该避免使用。 MD5（SHA-1的一种叔叔）有较大的弱点，不能用。

正确使用非对称加密，尤其是在混合方案和数字签名中，比上面的文字可能暗示的要棘手。在某些时候很容易出错，不可见，即代码看起来可以工作，但会泄露对攻击者有用的数据。使用非对称加密或数字签名的正确方法是依赖现有的、经过深思熟虑的协议。协议是将加密元素组合成一个连贯的系统，其中泄漏得到处理。最好的例子是 TLS，也称为 SSL。它是一种确保机密数据传输的协议，具有完整性和身份验证（可能是相互身份验证）。 HTTPS 协议是 HTTP 和 SSL 的混合。好的一面是 HTTPS 有现有的实现，尤其是在 C# 中。最容易实现和调试的代码是已经实现和调试过的代码。所以使用 HTTPS，你会活得更久，更快乐。

【参考方案2】：

我明白你为什么要问这个问题。问题是 RSA 不像典型的块密码（如 AES 或 3DES）那样使用，它一次加密 8 个字节，一整天。 RSA 是一种数学运算，它返回除法的余数（模数）。回到小学，当你学习长除法时，记住余数永远不会大于除数：如果你将 20 除以 7，则余数是 6。无论你除以什么整数，余数都不能大于 7超过六个。

RSA 数学也是如此。例如，如果您使用的是 1024 位 RSA 公钥，则余数永远不会大于 2^1024，即只有 128 个字节。因此，您一次只能使用此密钥加密 128 个字节。 （这就是我们通过位数来衡量 RSA 密钥大小的原因之一。）

从技术上讲，您可以在循环中使用此 RSA 密钥一次加密 128 字节的数据块。实际上，我们几乎从不这样做，因为 RSA 数学又大又慢。相反，我们使用所谓的“两阶段”加密。我们使用 RSA 仅加密一个简短的“会话密钥”，然后在快速对称密钥块密码（如 AES）中使用该会话密钥来加密实际数据。

整个协议是：

获取目标的 RSA 公钥。这通常嵌入在证书中；如果是，请务必验证证书以确保密钥是真实的。假设 RSA 密钥的长度为 2048 位。 生成一个加密性强的伪随机数，用作块密码的密钥（例如，您需要 256 位作为 AES-256 的密钥。）请注意，256 使用 RSA 2048 位公钥加密会话密钥。它将为您提供 2048 位的加密会话密钥。请注意，此操作非常缓慢。 使用 AES-256 加密所有秘密数据，使用会话密钥。请注意，这比第 3 步要快得多。 将证书中的公钥 ID、RSA 加密会话密钥和 AES 加密数据捆绑在一起。我还会用格式标识符和版本号标记它，这样你就知道它是什么格式以及如何解密它。

将捆绑包发送到目的地。

在目的地，您使用格式标识符和版本来拆分包。

检索身份在公钥 ID 字段中的私钥。 在 RSA 中使用此私钥解密会话密钥。 使用 AES 中的会话密钥解密数据。

如果您打算这样做，您应该知道这正是 CMS (PKCS#7) 格式的用途。我鼓励您了解并采用该标准，而不是尝试发明自己的格式。微软的 CSP 支持它，所以应该很容易。

如果您不遵循标准，您将不得不自行决定“在 RSA 加密过程中 AES 密钥位应采用什么格式？”更有可能的是，您几乎肯定会犯安全错误，从而削弱您的系统。此外，如果您不遵循标准，您会发现 CSP 等工具将很难使用。

【讨论】：

对于标准做法，您是否需要在上述步骤之一中使用私钥对其进行“签名”？

@Dennis，没有。您可能提到的任何“标准实践”都是需求驱动的，而不是自动绑定到每个通信中。签名用于验证消息来自真实来源，而不是为了保密。如果真实性是一个有效的要求，那么上面的问题中没有说明。如果真实性和数据完整性很重要，那么您将在创建消息时添加额外的签名步骤，并在收到时验证签名。到那时，您已经超越了普通旧 RSA 的范围，并坚定地进入了 HMAC 领域。

【参考方案3】：

在 DecryptRSA 中，“数据”是 64 位编码的吗？如果是，您必须先撤消它。

老实说，我认为您不应该自己实施该例程来保护“敏感的财务信息”，除非您有丰富的密码学经验。犯错的方法太多了。最好使用一些现成的解决方案 - 也许是 SSL 和证书，或者只是 PGP 或 GnuPG？

【讨论】：

是的，它是 base64 编码的，可能会像你们建议我的那样使用，像 SSL 这样的镭射解决方案

【参考方案4】：

RSA 主要用于验证数据的安全散列 - 而不是加密数据本身。因此，给定大量数据，您可以使用 SHA512 创建该数据的哈希，然后使用 RSA 对该哈希签名。

您需要对大型数据块使用对称加密算法，例如 AES 或 3DES。

管理安全交易并不容易，真的应该留给那些日日夜夜思考它的人。如果您通过网络公开服务，只需使用已经加密和保护您数据的 SSL。

【讨论】：

感谢 Paul，可能只使用 SSL，但只是想尝试使用加密。

【参考方案5】：

首先确定您要保护的内容。如果您使用私钥“加密”某些内容，那么任何人都可以使用公钥“解密”它，因为公钥是 - 嗯 - public。

如果你真的想签名，你应该（正如 Paul Alexander 解释的那样）用私钥对哈希进行签名，然后可以在服务器上进行验证。

要使用 RSA 加密数据，您应该首先生成一个随机对称密钥 (fx AES)，使用 public 密钥加密密钥，然后使用对称密钥加密数据.然后，您可以将加密的密钥与加密的数据一起传输给 private 密钥的持有者，后者可以先用私钥解密加密的密钥，然后再用对称密钥解密数据。

您也可以考虑使用 SSL，但请记住仔细考虑身份验证。您可能需要客户端身份验证，并且必须决定信任哪些证书（您不应盲目接受 Verisign 颁发的任何证书）。

【讨论】：

我已经意识到我最终会使用 AES 或 3DES 或某种类似的加密。我理解你所说的关于 SSL 的内容。我想知道加密敏感数据并使用 SSL 会不会过大？