QtOpenSSL詳解

一、介紹

QtOpenSSL是一個Qt和OpenSSL之間的橋樑，提供了加密和解密、數字證書、SSL和TLS等功能，以實現網絡通信的數據保護和安全。QtOpenSSL主要用於服務器和客戶端之間的網絡通信，也可以用於文件和數據庫等敏感數據的加密傳輸。本文將從多個方面對QtOpenSSL進行詳細的闡述。

二、QtOpenSSL的安裝和配置

QtOpenSSL是個第三方工具，要使用它就需要先將它安裝到你的系統中，並將其配置到你的Qt工程中。安裝QtOpenSSL的方法有多種，具體可以參考QtOpenSSL的官方文檔。完成安裝後，我們需要將QtOpenSSL添加到Qt工程的.pro文件中。

QT += openssl
INCLUDEPATH += /usr/local/openssl/include
LIBS += -L/usr/local/openssl/lib -lssl -lcrypto

這裡以Qt 5.9和OpenSSL 1.1.0f為例，將OpenSSL安裝在/usr/local/openssl目錄下。我們需要在INCLUDEPATH中添加OpenSSL的頭文件路徑和在LIBS中添加OpenSSL的庫文件路徑以及ssl和crypto庫。

三、QtOpenSSL的加密和解密

QtOpenSSL提供了對稱加密和非對稱加密兩種方式。對稱加密和解密採用的是相同的密鑰，速度較快，但密鑰傳輸不安全；非對稱加密採用的是公鑰和私鑰兩個密鑰，可保證密鑰傳輸的安全性，但加密和解密比對稱加密較為耗時。

1.對稱加密和解密

對稱加密主要用於加密和解密比較小的數據段，因為數據段越大，對稱加密的安全性就越低。下面是對稱加密的代碼，在使用之前需要先生成隨機密鑰並將其加密後傳遞給接收方：

//生成隨機密鑰
QByteArray key = QSslKey::generate(Qt::SymmetricKey, QSsl::Aes256).toPem();

//加密數據
QByteArray data = "Hello World";
QByteArray iv(QSslCipher::defaultKeyLength(QSsl::Aes256), 0); //設置iv
QByteArray encrypted = QCryptographicHash::hash(iv + key, QCryptographicHash::Sha256) + QSslCipher(QSsl::Aes256, QSsl::CbcMode, QSsl::DefaultKeyLength).eCrypt(key, data, iv);

//解密數據
QByteArray decrypted = QSslCipher(QSsl::Aes256, QSsl::CbcMode, QSsl::DefaultKeyLength).dCrypt(key, encrypted.right(encrypted.size() - QCryptographicHash::hashLength(QCryptographicHash::Sha256)), encrypted.left(QCryptographicHash::hashLength(QCryptographicHash::Sha256)));

在加密時，我們需要先生成一個隨機密鑰，然後使用QCryptographicHash對初始向量和密鑰進行SHA256散列，將散列結果添加到加密數據的前面，並調用QSslCipher的eCrypt方法進行加密。解密時我們需要首先使用QSslCipher的dCrypt方法進行解密，然後使用QCryptographicHash對初始向量和密鑰進行SHA256散列，將散列結果與加密數據進行對比，以確定是否被篡改。

2.非對稱加密和解密

非對稱加密主要用於加密和解密比較大的數據段，因為其加密和解密速度較慢，類似於數字簽名的方式來保證密鑰傳輸的安全性。下面是非對稱加密的代碼：

//生成密鑰對
QSslKey privateKey = QSslKey::generate(Qt::RSAKey, 2048); //生成私鑰
QByteArray publicKey = privateKey.toPublicKey().toPem(); //生成公鑰

//加密數據
QByteArray data = "Hello World";
QCryptographicHash hash(QCryptographicHash::Sha256);
hash.addData(data);
QByteArray encrypted = privateKey.toPublicKey().encrypt(hash.result(), QSsl::RsaPkcs1Padding);

//解密數據
QByteArray decrypted = privateKey.decrypt(encrypted, QSsl::RsaPkcs1Padding);

在非對稱加密時，我們需要先生成一個密鑰對，然後使用私鑰對數據進行簽名，確保數據的完整性和真實性。接收方使用公鑰對簽名進行驗證並解密數據。在該過程中，只有擁有私鑰的一方才能夠對數據進行簽名和解密，私鑰是很重要的安全因素，需要做好保密工作，確保不被泄露。

四、QtOpenSSL的證書和SSL/TLS

1.數字證書

數字證書是利用公鑰加密技術，結合數字簽名技術來驗證證書的真實性和完整性等信息的一種電子憑證。數字證書主要應用於SSL/TLS通信協議中，用於驗證服務器和客戶端之間的身份信息，確保通信的安全性。

QtOpenSSL支持X.509格式數字證書的生成和解析，下面是數字證書的生成代碼：

//生成數字證書
QSslCertificate certificate;
QByteArray publicKeyPem = privateKey.toPublicKey().toPem();
QSslKey publicKey = QSslKey(publicKeyPem, QSsl::Rsa, QSsl::PublicKey);
QByteArray name = QSslCertificate::organizationNameToNid(QLatin1String("QtOpenSSL Example"));

X509_NAME *subjectName = X509_NAME_new();
X509_NAME_add_entry_by_txt(subjectName, "C", MBSTRING_ASC, reinterpret_cast("CN"), -1, -1, 0); //國家
X509_NAME_add_entry_by_txt(subjectName, "C", MBSTRING_ASC, reinterpret_cast("SZ"), -1, -1, 0); //城市
X509_NAME_add_entry_by_txt(subjectName, "C", MBSTRING_ASC, reinterpret_cast("Info"), -1, -1, 0); //公司
X509_NAME_add_entry_by_txt(subjectName, "C", MBSTRING_ASC, reinterpret_cast("Software Department"), -1, -1, 0); //部門
X509_NAME_add_entry_by_txt(subjectName, "C", MBSTRING_ASC, reinterpret_cast("QtOpenSSL Example"), -1, -1, 0); //名稱

X509 *certificate_raw = X509_new();
X509_set_version(certificate_raw, 2);
ASN1_INTEGER_set(X509_get_serialNumber(certificate_raw), 1);
X509_gmtime_adj(X509_get_notBefore(certificate_raw), 0);
X509_gmtime_adj(X509_get_notAfter(certificate_raw), 315360000L); //10 years
X509_set_pubkey(certificate_raw, publicKey.toPointer());
X509_set_subject_name(certificate_raw, subjectName);
X509_set_issuer_name(certificate_raw, subjectName);
X509_sign(certificate_raw, privateKey.toPointer(), EVP_sha1());

certificate = QSslCertificate(certificate_raw); //轉換成QSslCertificate

在數字證書的生成過程中，我們需要構建證書的基本標識信息，包括國家、城市、公司、部門和名稱等。然後使用私鑰對證書進行簽名，生成可用的數字證書。數字證書中包含的信息非常重要，是驗證通信安全性的重要基礎。

2. SSL/TLS

SSL/TLS是一種應用層協議，用於保證客戶端和服務器之間的網絡通信的安全性。SSL/TLS協議主要通過數字證書驗證身份、對通信數據進行加密、使用數字簽名驗證數據的完整性等方式來保證通信的安全性。QT中提供了QSslSocket來支持SSL/TLS通信，其使用方式如下：

//建立SSL/TLS連接
QSslSocket *socket = new QSslSocket;
socket->addCaCertificates(":/ssl/ca.pem");
socket->setPrivateKey(privateKey);
socket->setLocalCertificate(certificate);
socket->connectToHostEncrypted(server, port);
if(socket->waitForEncrypted())
{
    //SSL/TLS連接建立成功，開始通信
}

在使用QSslSocket建立SSL/TLS連接時，我們需要指定根證書（addCaCertificates）、私鑰（setPrivateKey）和數字證書（setLocalCertificate），這些都會被用來驗證服務器的身份和簽名等信息。如果SSL/TLS連接建立成功，則可以開始進行通信了。

五、結束語

QtOpenSSL提供了豐富的加密和安全功能，可以幫助我們實現網絡數據的保護和安全。本文從安裝配置、加密解密、數字證書和SSL/TLS四個方面對QtOpenSSL進行了詳細的闡述，並給出了相關的代碼示例供讀者參考。希望本文能夠對大家學習Qt和加密技術有所幫助。