非常教程

Ruby 2.4参考手册

OpenSSL

OpenSSL::PKCS5

提供基于PKCS#5的基于密码的加密功能。通常用于安全地派生任意长度的对称密钥,与密码中的OpenSSL :: Cipher一起使用。另一个用例是用于存储密码:由于能够通过增加迭代次数来调整计算工作量,所以可以人为地减慢计算量以便使可能的攻击不可行。

PKCS5通过基于OpenSSL :: Digest :: SHA1的HMAC提供对PBKDF2的支持,如果底层版本的OpenSSL已经支持(> = 1.0.0),则提供对任意Digest的支持。

参数

密码

通常是表示用于派生密钥的密码的任意字符串。

Salt

基于普通密码的字典防止攻击。这是一个公共值,可以与密码一起安全地存储(例如,如果PBKDF2用于密码存储)。为了获得最大的安全性,应该为每个存储的密码生成新鲜的随机盐。根据PKCS#5,盐的长度至少应为8个字节。

迭代计数

允许调整实际计算的长度。迭代次数越多,需要的时间越长。

密钥长度

指定将生成的输出的字节长度。通常,密钥长度应该大于或等于底层摘要函数的输出长度,否则攻击者可能会简单地试图暴力破解密钥。根据PKCS#5,安全性受底层摘要函数输出长度的限制,即如果选择严格大于摘要输出长度的密钥长度,则安全性不会提高。因此,在使用PKCS5进行密码存储时,只需存储与摘要输出长度相等的值即可,而通过存储较大的值则不会产生任何结果。

例子

为密码生成128位密钥(例如AES)

pass = "secret"
salt = OpenSSL::Random.random_bytes(16)
iter = 20000
key_len = 16
key = OpenSSL::PKCS5.pbkdf2_hmac_sha1(pass, salt, iter, key_len)

存储密码

pass = "secret"
salt = OpenSSL::Random.random_bytes(16) #store this with the generated value
iter = 20000
digest = OpenSSL::Digest::SHA256.new
len = digest.digest_length
#the final value to be stored
value = OpenSSL::PKCS5.pbkdf2_hmac(pass, salt, iter, len, digest)

有关检查密码的重要说明

将用户提供的密码与以前存储的值进行比较时,常见的错误是使用“==”比较两个值。通常,评估时出现“==”短路,因此容易受到定时攻击的影响。正确的方法是使用比较两个值时总是花费相同时间的方法,因此不会将任何信息泄露给潜在的攻击者。要比较两个值,可以使用以下内容:

def eql_time_cmp(a, b)
  unless a.length == b.length
    return false
  end
  cmp = b.bytes.to_a
  result = 0
  a.bytes.each_with_index {|c,i|
    result |= c ^ cmp[i]
  }
  result == 0
end

请注意,如果长度不同,过早返回时通常不会泄漏有价值的信息 - 使用PKCS#5时,要比较的值的长度是固定大小。

公共类方法

pbkdf2_hmac(pass,salt,iter,keylen,digest)→string Show source

参数

  • pass - 字符串
  • salt - 字符串 - 应该至少有8个字节长。
  • iter - 整数 - 应该大于1000. 20000更好。
  • keylen - 整数
  • digest - 一个字符串或OpenSSL :: Digest对象。可用于OpenSSL> = 1.0.0。除SHA1以外的其他加密库不支持.static VALUE ossl_pkcs5_pbkdf2_hmac(VALUE self,VALUE pass,VALUE salt,VALUE iter,VALUE keylen ,VALUE摘要){VALUE str; const EVP_MD * md; int len = NUM​​2INT(keylen); 的StringValue(PASS); 的StringValue(盐); md = GetDigestPtr(digest); str = rb_str_new(0,len); 如果(PKCS5_PBKDF2_HMAC(RSTRING_PTR(pass),RSTRING_LENINT(pass),(unsigned char *)RSTRING_PTR(salt)),RSTRING_LENINT(salt),NUM2INT(iter),md,len,(unsigned char *)RSTRING_PTR(str))! 1)ossl_raise(ePKCS5,“PKCS5_PBKDF2_HMAC”); 返回str; } pbkdf2_hmac_sha1(pass,salt,iter,
  • pass - 字符串
  • salt - 字符串 - 应该至少有8个字节长。
  • iter - 整数 - 应该大于1000. 20000更好。
  • keylen - 整数

这种方法几乎适用于任何版本的OpenSSL。

符合RFC 2898。

static VALUE
ossl_pkcs5_pbkdf2_hmac_sha1(VALUE self, VALUE pass, VALUE salt, VALUE iter, VALUE keylen)
{
    VALUE str;
    int len = NUM2INT(keylen);

    StringValue(pass);
    StringValue(salt);

    str = rb_str_new(0, len);

    if (PKCS5_PBKDF2_HMAC_SHA1(RSTRING_PTR(pass), RSTRING_LENINT(pass),
                               (const unsigned char *)RSTRING_PTR(salt), RSTRING_LENINT(salt), NUM2INT(iter),
                               len, (unsigned char *)RSTRING_PTR(str)) != 1)
        ossl_raise(ePKCS5, "PKCS5_PBKDF2_HMAC_SHA1");

    return str;
}

OpenSSL相关

1.OpenSSL::ASN1
2.OpenSSL::ASN1::ASN1Data
3.OpenSSL::ASN1::ASN1Error
4.OpenSSL::ASN1::Constructive
5.OpenSSL::ASN1::ObjectId
6.OpenSSL::ASN1::Primitive
7.OpenSSL::BN
8.OpenSSL::BNError
9.OpenSSL::Buffering
10.OpenSSL::Cipher
11.OpenSSL::Cipher::Cipher
12.OpenSSL::Config
13.OpenSSL::ConfigError
14.OpenSSL::Digest
15.OpenSSL::Digest::DigestError
16.OpenSSL::Engine
17.OpenSSL::Engine::EngineError
18.OpenSSL::ExtConfig
19.OpenSSL::HMAC
20.OpenSSL::HMACError
21.OpenSSL::Netscape
22.OpenSSL::Netscape::SPKI
23.OpenSSL::Netscape::SPKIError
24.OpenSSL::OCSP
25.OpenSSL::OCSP::BasicResponse
26.OpenSSL::OCSP::CertificateId
27.OpenSSL::OCSP::OCSPError
28.OpenSSL::OCSP::Request
29.OpenSSL::OCSP::Response
30.OpenSSL::OCSP::SingleResponse
31.OpenSSL::OpenSSLError
32.OpenSSL::PKCS12
33.OpenSSL::PKCS5::PKCS5Error
34.OpenSSL::PKCS7
35.OpenSSL::PKCS7::RecipientInfo
36.OpenSSL::PKCS7::SignerInfo
37.OpenSSL::PKey
38.OpenSSL::PKey::DH
39.OpenSSL::PKey::DHError
40.OpenSSL::PKey::DSA
41.OpenSSL::PKey::DSAError
42.OpenSSL::PKey::EC
43.OpenSSL::PKey::EC::Group
44.OpenSSL::PKey::EC::Point
45.OpenSSL::PKey::PKey
46.OpenSSL::PKey::PKeyError
47.OpenSSL::PKey::RSA
48.OpenSSL::PKey::RSAError
49.OpenSSL::Random
50.OpenSSL::SSL
51.OpenSSL::SSL::Session
52.OpenSSL::SSL::SocketForwarder
53.OpenSSL::SSL::SSLContext
54.OpenSSL::SSL::SSLError
55.OpenSSL::SSL::SSLServer
56.OpenSSL::SSL::SSLSocket
57.OpenSSL::X509::Attribute
58.OpenSSL::X509::Certificate
59.OpenSSL::X509::CRL
60.OpenSSL::X509::Extension
61.OpenSSL::X509::ExtensionFactory
62.OpenSSL::X509::Name
63.OpenSSL::X509::Name::RFC2253DN
64.OpenSSL::X509::Request
65.OpenSSL::X509::Revoked
66.OpenSSL::X509::Store
67.OpenSSL::X509::StoreContext
Ruby 2.4

Ruby 是一种面向对象、命令式、函数式、动态的通用编程语言,是世界上最优美而巧妙的语言。

主页 https://www.ruby-lang.org/
源码 https://github.com/ruby/ruby
版本 2.4
发布版本 2.4.1

Ruby 2.4目录

1.缩略 | Abbrev
2.ARGF
3.数组 | Array
4.Base64
5.基本对象 | BasicObject
6.基准测试 | Benchmark
7.BigDecimal
8.绑定 | Binding
9.CGI
10.类 | Class
11.比较 | Comparable
12.负责 | Complex
13.计算续体 | Continuation
14.覆盖 | Coverage
15.CSV
16.日期 | Date
17.日期时间 | DateTime
18.DBM
19.代理 | Delegator
20.摘要 | Digest
21.Dir
22.DRb
23.编码 | Encoding
24.枚举 | Enumerable
25.枚举 | Enumerator
26.ENV
27.ERB
28.错误 | Errors
29.Etc
30.期望值 | Exception
31.错误类 | FalseClass
32.Fiber
33.Fiddle
34.文件 | File
35.文件实用程序 | FileUtils
36.查找 | Find
37.浮点 | Float
38.Forwardable
39.GC
40.GDBM
41.GetoptLong
42.Hash
43.Integer
44.IO
45.IPAddr
46.JSON
47.Kernel
48.语言 | 3Language
49.记录 | Logger
50.编排 | Marshal
51.MatchData
52.数学 | Math
53.矩阵 | Matrix
54.方法 | Method
55.模型 | Module
56.监控 | Monitor
57. 互斥 | Mutex
58.Net
59.Net::FTP
60.Net::HTTP
61.Net::IMAP
62.Net::SMTP
63.NilClass
64.数字 | Numeric
65.对象 | Object
66.ObjectSpace
67.Observable
68.Open3
69.OpenSSL
70.OpenStruct
71.OpenURI
72.OptionParser
73.路径名 | Pathname
74.完整输出 | PrettyPrint
75.Prime
76.Proc
77.过程 | Process
78.PStore
79.PTY
80.队列 | Queue
81.随机 | Random
82.范围 | Range
83.合理的 | Rational
84.Readline
85.Regexp
86.Resolv
87.Ripper
88.RubyVM
89.Scanf
90.SDBM
91.SecureRandom
92.Set
93.Shell
94.信号 | Signal
95.Singleton
96.套接字 | Socket
97.字符串 | String
98.StringIO
99.StringScanner
100.结构 | Struct