如何使jCryption与django和python (或另一个python库)一起工作

Question

我想向客户端发送一些机密数据，所以我想对其进行加密。

我在客户端使用jCryption。它在连接开始时使用握手，步骤如下：

1. 客户端生成随机AES密码。
2. 客户端请求RSA publicKey表单服务器
3. 服务器发送
4. 客户端使用RSA公钥加密密码并将其发送到服务器。
5. 现在，两个人都使用这个密码加密他们发送给对方的数据。

我的问题是在发送用RSA加密的密码的步骤中(步骤4)，因为jCryption以十六进制格式发送密码，但是python-rsa期望二进制整数，

如何将jCryption输出转换为python可以处理的格式，或者是否有另一个库可以这样做？

RSA密码文本如下所示：

TO\xa75[\x9a\x07s4\x86\xbc\xae\xe3\xd5s)1\x0cd5\xdfY\xf7\xeds9\xf3~\n\x9fA$\xa9\xfb；\x04\x1e\x18\xf4\xea\x7f\x91\xd9\xb7\xd3\x138\xb6b\x9c\xb6\x1b\xe7\x11\x9aB\x1d@`y\x9c0\xe8\xb6!\x8b~lg\xabO\xbeny\xf7Xu\x89YW\xb0\xda@\x10\x0c\xe7\x85\x9bX\x8f\x02e\xdalf|\xa6\x0e\x8e\x8e\x9d\xd8=\x9bQLO7\x0fd\x19/t?\xf1\x96\x1b\xb9\x8bv\xb4\xb4rS\x1c\xb9

从jCryption发送的数据如下所示：

11a6ebb863c379255df711aba86ad3986d6ecc33402a1596e6036b8d33f41932909a3e8c10cc4e0d2ece5f369808020ac7241a4285c80e6e483a1f6b43d933149961f50b72a808c769d39215ce08c33cfdb543b68bb0cf644f32dccf7eb90547290d47b96758449df3e7d4ec 2b50aef21ff4735c79f74bf5214ff356e4338ff2b292110ad537d160e41e34b350c7bc857601a943f915285e62f308fb6bd61d275321b68fbf27a52fbffc27b9ad15810795ccdea6d9776246b84b00503c2711d49a3f101af6f2c822d697a71aeca684e20328071ce84da907

Answer 1

好的，我已经完成了这个任务，但是首先我想说的是，为https获得LetsEncrypt免费证书要容易得多，这是我后来所做的。

对于此解决方案，需要安装openssl。

让我们为ajaxes编写视图。

弄到公用钥匙。如果我们在项目目录中没有一个，那么生成这个对。

    def public_key(req):
        if not os.path.isfile(os.path.join(settings.BASE_DIR, 'form_key.pem')) or not os.path.isfile(os.path.join( settings.BASE_DIR,'form_key_pub.pem')):
            check_call(['openssl', 'genrsa', '-out', os.path.join(settings.BASE_DIR,'form_key.pem'), '4096'])
            check_call(['openssl', 'rsa', '-pubout', '-in', os.path.join(settings.BASE_DIR,'form_key.pem'), '-out', os.path.join(settings.BASE_DIR,'form_key_pub.pem')])
        f = open(os.path.join(settings.BASE_DIR,'form_key_pub.pem'))
        key = f.read()
        f.close()
        return JsonResponse({"publickey": key})

好的，还有握手。为了保护这个视图，我们需要修补jCryption javascript库，我在这里保存了会话存储中的AES密钥。

    @csrf_exempt
    def handshake(req):
        if req.method == 'POST':
            encb64key = req.POST['key']
            encb64key = re.sub(r'[^a-zA-Z0-9/=+]', '', encb64key)
            enckey = b64decode(encb64key)
            openssl = Popen(['openssl', 'rsautl', '-decrypt', '-inkey', os.path.join(settings.BASE_DIR,'form_key.pem')], stdin = PIPE, stdout=PIPE, stderr=PIPE)
            key, stderr = openssl.communicate(enckey)
            print stderr
            key = re.sub(r'[^a-zA-Z0-9]', '', key)
            req.session['form_key'] = key 
            openssl = Popen(['openssl', 'enc', '-aes-256-cbc', '-pass', 'pass:'+key, '-a', '-e'], stdin = PIPE, stdout = PIPE, stderr = PIPE)
            enckey , stderr = openssl.communicate(key)
            print stderr
            enckey = re.sub('[^a-zA-Z0-9/+=]', '' , enckey)
            return JsonResponse({'challenge': enckey})
        raise Http404() 

让我们为urls.py中的视图选择urls

    url('^pubkey', public_key, name = 'publickey'),
    url('^handshake', handshake, name = 'handshake'),

最棘手的部分。我们自己的中间件。您需要将其添加到MIDDLEWARE_CLASSES中的settings.py中。如果你把“myapp.views.JCryptionMiddleware”放在你的myapp的views.py文件中，它就像‘views.py’一样。

诀窍是，我们发送错误的帖子数据只有'jCryption‘攻击。中间件对此攻击中的所有数据进行解密，并使用它重写请求对象中的POST数据。阅读Django文档中的中间件。

    class JCryptionMiddleware(object):
        def process_view(self, request, callback, callback_args, callback_kwargs):
            jcryptedb64 = request.POST.get('jCryption', '')
            if jcryptedb64:
                try:
                    jcrypted = b64decode(jcryptedb64)
                    p = Popen(['openssl', 'enc', '-aes-256-cbc', '-pass', 'pass:'+request.session['form_key'], '-d'], stdin = PIPE, stdout = PIPE, stderr = PIPE)
                    qstr, stderr = p.communicate(jcrypted)
                    print stderr
                    wasmutable = request.POST._mutable
                    request.POST._mutable = True
                    request.POST.__init__(qstr)
                    request.POST._mutable = wasmutable
                except Exception as e:
                    print e
            return None

以及带有表单模板的页面中的客户端代码。

    <script src="{{ STATIC_URL }}js/jquery.min.js"></script>
    <script src="{{ STATIC_URL }}js/jcryption.js"></script>
    <script>
    $(function() {
        $('form').jCryption({"getKeysURL": "/pubkey", "handshakeURL": "/handshake"});
    });
    </script>

查看我们的urls.py中的urls。

例如，您可以加密您的管理登录表单。将login.html从django cont肋骨管理复制到template / admin /login.html，并将此javascript代码添加到模板中。

塔达！不要用这个，用HTTPS。