1

我想向客户端发送一些秘密数据,所以我想对其进行加密。

我在客户端使用jCryption。它在连接开始时使用握手,过程如下:

  1. 客户端生成随机 AES 密码。
  2. 客户端请求 RSA publicKey 表单服务器
  3. 服务器发送
  4. 客户端使用 RSA 公钥加密密码并将其发送到服务器。
  5. 现在,双方都使用该密码来加密他们发送给对方的数据。

我的问题是在发送用 RSA 加密的密码的步骤中(步骤 4),因为 jCryption 以十六进制格式发送它,但python-rsa期望二进制整数,,

如何将 jCryption 输出转换为 python-rsa 可以处理的格式,或者是否有另一个库可以做到这一点?

RSA 密文如下所示:

TO\xa75[\x9a\x07s4\x86\xbc\xae\xe3\xd5s)1\x0cd5\xdfY\xf7\xeds9\xf3~\n\x9fA$\xa9\xfb;\x04\x1e\x18\xf4\ xea\x7f\x91\xd9\xb7[\xd3\x138\xb6b\x9c\xb6\x1b\xe7\x11\x9aB\x1d@`y\x9c0\xe8\xb6!\x8b~lg\xabO\xbeny\xf7Xu \x89YW\xb0\xda@\x10\x0c\xe7\x85\x9bX\x8f\x02e\xdalf|\xa6\x0e\x8e\x8e\x9d\xd8=\x9bQLO7\x0fd\x19/]t?\xf1\ x96\x1b\xb9\x8bv\xb4\xb4rS\x1c\xb9

从 jCryption 发送的数据如下所示:

11a6ebb863c379255df711aba86ad3986d6ecc33402a1596e6036b8d33f41932909a3e8c10cc4e0d2ece5f369808020ac7241a4285c80e6e483a1f6b43d933149961f50b72a808c769d39215ce08c33cfdb543b68bb0cf644f32dccf7eb90547290d47b96758449df3e7d4ec 2b50aef21ff4735c79f74bf5214ff356e4338ff2b292110ad537d160e41e34b350c7bc857601a943f915285e62f308fb6bd61d275321b68fbf27a52fbffc27b9ad15810795ccdea6d9776246b84b00503c2711d49a3f101af6f2c822d697a71aeca684e20328071ce84da907

4

1 回答 1

0

好的,我已经完成了这个任务,但首先我想说的是,获得 LetsEncrypt 免费的 https 证书要容易得多,我后来做了。

对于此解决方案,您需要安装 openssl。

让我们为我们的 ajax 编写视图

获取公钥。如果我们在项目目录中没有一个,则生成该对。

    def public_key(req):
        if not os.path.isfile(os.path.join(settings.BASE_DIR, 'form_key.pem')) or not os.path.isfile(os.path.join( settings.BASE_DIR,'form_key_pub.pem')):
            check_call(['openssl', 'genrsa', '-out', os.path.join(settings.BASE_DIR,'form_key.pem'), '4096'])
            check_call(['openssl', 'rsa', '-pubout', '-in', os.path.join(settings.BASE_DIR,'form_key.pem'), '-out', os.path.join(settings.BASE_DIR,'form_key_pub.pem')])
        f = open(os.path.join(settings.BASE_DIR,'form_key_pub.pem'))
        key = f.read()
        f.close()
        return JsonResponse({"publickey": key})

好的,握手。为了 CSRF 保护这个视图,我们需要修补我没有修补的 jCryption javascript 库。我在这里将 AES 密钥保存在会话存储中。

    @csrf_exempt
    def handshake(req):
        if req.method == 'POST':
            encb64key = req.POST['key']
            encb64key = re.sub(r'[^a-zA-Z0-9/=+]', '', encb64key)
            enckey = b64decode(encb64key)
            openssl = Popen(['openssl', 'rsautl', '-decrypt', '-inkey', os.path.join(settings.BASE_DIR,'form_key.pem')], stdin = PIPE, stdout=PIPE, stderr=PIPE)
            key, stderr = openssl.communicate(enckey)
            print stderr
            key = re.sub(r'[^a-zA-Z0-9]', '', key)
            req.session['form_key'] = key 
            openssl = Popen(['openssl', 'enc', '-aes-256-cbc', '-pass', 'pass:'+key, '-a', '-e'], stdin = PIPE, stdout = PIPE, stderr = PIPE)
            enckey , stderr = openssl.communicate(key)
            print stderr
            enckey = re.sub('[^a-zA-Z0-9/+=]', '' , enckey)
            return JsonResponse({'challenge': enckey})
        raise Http404()

让我们为 urls.py 中的视图选择 url

    url('^pubkey', public_key, name = 'publickey'),
    url('^handshake', handshake, name = 'handshake'),

而最棘手的部分。我们自己的中间件。您需要将其添加到 settings.py 中的 MIDDLEWARE_CLASSES 中。如果您将它放在 myapp 的 views.py 文件中,则类似于“myapp.views.JCryptionMiddleware”。

诀窍是我们仅使用“jCryption”属性发送了错误的 POST 数据。中间件解密此 attr 中的适当数据,并用它重写请求对象中的 POST 数据。阅读 Django 文档中的中间件。

    class JCryptionMiddleware(object):
        def process_view(self, request, callback, callback_args, callback_kwargs):
            jcryptedb64 = request.POST.get('jCryption', '')
            if jcryptedb64:
                try:
                    jcrypted = b64decode(jcryptedb64)
                    p = Popen(['openssl', 'enc', '-aes-256-cbc', '-pass', 'pass:'+request.session['form_key'], '-d'], stdin = PIPE, stdout = PIPE, stderr = PIPE)
                    qstr, stderr = p.communicate(jcrypted)
                    print stderr
                    wasmutable = request.POST._mutable
                    request.POST._mutable = True
                    request.POST.__init__(qstr)
                    request.POST._mutable = wasmutable
                except Exception as e:
                    print e
            return None

以及带有表单模板的页面中的客户端代码。

    <script src="{{ STATIC_URL }}js/jquery.min.js"></script>
    <script src="{{ STATIC_URL }}js/jcryption.js"></script>
    <script>
    $(function() {
        $('form').jCryption({"getKeysURL": "/pubkey", "handshakeURL": "/handshake"});
    });
    </script>

从我们的 urls.py 中查看 url。

例如,您可以加密您的管理员登录表单。将 login.html 从 django contrib admin 复制到 templates/admin/login.html 并将此 javascript 代码添加到模板中。

达达!不要使用这个,使用 HTTPS。

于 2015-12-29T11:22:59.823 回答