设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客

如何在浏览器端加密

2013-11-5 11:19| 发布者: 红黑魂| 查看: 4677| 评论: 0|来自: 伯乐在线

摘要:   在创建 Opal 网站时,我们所面临的挑战,是寻找在浏览器中加密解密的可靠方法。  这篇文章描述了浏览器端加密所面临的难题,并指出了近期的科技进步所提供的一种解决方案。在 Web 应用中加密的三种选择  只 ...

  在创建 Opal 网站时,我们所面临的挑战,是寻找在浏览器中加密解密的可靠方法。

  这篇文章描述了浏览器端加密所面临的难题,并指出了近期的科技进步所提供的一种解决方案。

 在 Web 应用中加密的三种选择

  只有 JavaScript 才是所有浏览器都支持的语言。与 Opal 同类的 Web 应用使用 JavaScript 编写,以便于在任何现代浏览器上运作。如果这些应用要使用加密函数,那么 JavaScript 必须能够访问到它们。

  目前,要把加密函数暴露给浏览器的 JavaScript,只有三个选项:

1、使用插件加密

  插件是指运行在浏览器中,可以由 JavaScript 调用的,编译过的代码。

  比如,Java 和 Flash 中存在的加密库。这样的做法通常性能很高,但是需要用户安装浏览器插件程序,而这,也是人们不愿意,或者完成不了的部分(如果他们使用的是公用电脑)。

  另外一个选项是使用 Chrome 浏览器的 NaCl 客户端(Native Client) 程序,它允许运行由 C 或者 C++ 编译出的机器代码。同样,这种做法的性能很高,但是NaCl客户端程序只能用于 Chrome 浏览器。

  即使这些插件和NaCl客户端程序在速度上有优势,但是因为他们需要用户使用特殊插件,或者使用特定浏览器,因此这种做法的可移植性不是很好。

2、使用 Web 加密 API

  即将出现的 Web 加密 API 会给 JavaScript 提供原生的基本加密接口,让 Web 应用可以更快地加密解密。但是,这项接口仍在草案阶段,主流浏览器要采用这项技术还很长的一段时间。而现在,能在多数浏览器中使用的,只有crypto.getRandomValues()函数。

  在 Web 加密 API 广泛应用之前,这并不是一项切实可行的浏览器端加密方案。

3、直接用 JavaScript 加密

  这种方案的优点就在于高度的可移植性。所有的浏览器都可以执行 JavaScript,也就意味着所有的浏览器都可以调用 JavaScript 写成的加密库。

  在 JavaScript 中加密主要有两项缺陷:安全性和速度。我们会轮流谈到这两项缺陷。

 JavaScript 加密可以变得安全

  有文章声称“JavaScript 加密是有害的”,并且列出了许多证据支持这一论述。

  文中的某些观点现在不再准确了。例如,这篇文章说,Math.random()函数不是随机数的良好来源,所以不可能得到足够的随机数用来加密。Math.random() 函数的确不是随机数的良好来源。在现代浏览器已经提供了 crypto.getRandomValues()函数以取得足够数量的随机数。

  这个帖子中有相当多的案例证明 JavaScript 加密是个坏主意,但这种做法也它的意义。

  这条回答有利地驳斥了第一个帖子中的许多观点,同时也指出了 JavaScript 加密的两个有效用例:端对端的信息加密(也就是对主机访问做出防护的应用)以及安全的远程密码认证。这些正好是 Opal 加密的使用场景,所以我们使用 JavaScript 加密是非常自然的。

 JavaScript 加密可以很快

  直到最近,JavaScript 在进行安全加密所要用到的复杂计算时都很慢。这直接导致了许多应用程序需要依赖于插件所提供的加密功能,这样的做法可移植性差,同时也会让用户厌烦。

  幸运的是,JavaScript 近年来的性能有极大提升,所以完全使用 JavaScript 进行加密操作是可行的。现在有许多 JavaScript 加密库可供选择(链接1链接2链接3链接4链接5链接6链接7链接8链接9)。

  于是就变成了选哪一个库的问题。

 NaCl,一个可以信赖的 C 语言加密库

  NaCl (读作 “salt”) 是一个 C 语言的库,提供对称式密钥加密解密和公钥签名认证的应用函数。它由密码学人士编写,在加密社区广为人知,受到信赖。问题之一是 NaCl 是 C 语言,而不是 JavaScript 编写的。

 js-NaCl:将 NaCl 编译成 JavaScript

  幸运的是,我们能把 NaCl 编译成 LLVM 的字节码,然后用 emscripten 将这些字节码编译成 JavaScript。并且,LLVM 编译器能在编译时作许多优化,所以得到的 JavaScript 代码也会得到优化。因此我们可以将 NaCl 库编译成 JavaScript,作好在浏览器中运行的准备!

  js-nacl 项目正是: 编译成 JavaScript 的 NaCl 加密库。

 asm.js 的速度很快!

  更好的是,emscripten 编译出的代码是 JavaScript 的子集,也叫做 asm.js。你可以将 asm.js 当作很像 JavaScript 的汇编语言。浏览器遇到了 asm.js 的代码块时,会将其编译成高效的机器码,运行速度接近原生代码。

  目前主要只有 Firefox 浏览器支持 asm.js 的优化。这就使 js-nacl 在 Firefox 中的加密解密非常迅速,视具体操作的不同,比 Chrome 浏览器的速度快 2 至 8 倍。但是即使是 Chrome,js-nacl 也很快,超过了我们所测试的其他所有加密库。

  NaCl 这样备受信赖的加密库和现代浏览器的快速执行,使像 Opal 这样的 Web 应用都应当使用 js-nacl 库。

  同样的原因下,Opal 使用了由 emscripten 编译出的 asm.js 版 scrypt 库来扩展密钥(正在这篇文章中启用)。你可以看到由项目维护者提供的 js-nacl 和 js-scrypt 性能的对比。我们同时也给 js-nacl 作了 jsperf 测试,以了解各个不同浏览器版本的性能差异,你也可以随意尝试


原文链接: Nicolas LaCasse   翻译: 伯乐在线 埃姆杰
译文链接: http://blog.jobbole.com/50826/


酷毙

雷人
1

鲜花

鸡蛋

漂亮

刚表态过的朋友 (1 人)

  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187  

返回顶部