不止于AES：用Crypto++库5分钟实现RSA文件加密与数字签名（附完整C++代码）

不止于AES：用Crypto++库5分钟实现RSA文件加密与数字签名（附完整C++代码）

在软件开发中，数据安全始终是不可忽视的重要环节。当我们需要将敏感配置文件发送给合作伙伴，或者验证远程下载的代码包是否被篡改时，仅靠AES这样的对称加密算法往往难以满足需求。这时，非对称加密算法RSA及其数字签名机制就派上了大用场。

与对称加密不同，RSA算法使用公钥和私钥配对，公钥可以公开分发用于加密数据，而私钥则严格保密用于解密。这种特性使得RSA特别适合以下场景：

• 安全文件传输：合作伙伴用你的公钥加密文件，只有你能用私钥解密
• 数字签名：你用私钥对文件生成签名，他人可用公钥验证文件完整性和来源真实性
• 安全通信协议：如HTTPS中用于交换对称加密密钥

下面我们将通过Crypto++库，一步步实现这些实用功能。所有代码均基于VS2017测试通过，你可以直接集成到自己的项目中。

1. 环境准备与Crypto++配置

在开始编码前，我们需要确保开发环境正确配置。这里以Visual Studio 2017为例：

1. 下载Crypto++库：

   • 从官网下载最新版本（推荐8.8.0或更高）
   • 解压到本地目录，如D:\libs\cryptopp

2. 编译静态库：

   • 打开VS2017，加载cryptlib.vcxproj
   • 配置为Release-x64
   • 调整项目属性：

     配置属性 → C/C++ → 代码生成 → 运行库: /MT 配置属性 → 常规 → Windows SDK版本: 选择当前版本

   • 生成解决方案，得到cryptlib.lib

3. 项目配置：

   • 创建新项目，配置x64 Release
   • 在项目属性中添加：

     VC++目录 → 包含目录: D:\libs\cryptopp VC++目录 → 库目录: D:\libs\cryptopp\Output\Release 链接器 → 输入 → 附加依赖项: cryptlib.lib

提示：如果遇到链接错误，请确保项目平台工具集与Crypto++库编译时使用的版本一致。

2. RSA密钥对生成与管理

RSA加密的基础是一对数学上关联的公钥和私钥。让我们看看如何用Crypto++生成它们：

#include <cryptopp/rsa.h> #include <cryptopp/osrng.h> #include <cryptopp/files.h> using namespace CryptoPP; void GenerateRSAKeyPair(unsigned int keyLength, const char* privFilename, const char* pubFilename) { // 创建随机数生成器 AutoSeededRandomPool rng; // 生成RSA私钥 RSA::PrivateKey privateKey; privateKey.GenerateRandomWithKeySize(rng, keyLength); // 生成对应的公钥 RSA::PublicKey publicKey(privateKey); // 保存私钥 ByteQueue queue; privateKey.Save(queue); FileSink privateSink(privFilename); queue.CopyTo(privateSink); privateSink.MessageEnd(); // 保存公钥 queue.Clear(); publicKey.Save(queue); FileSink publicSink(pubFilename); queue.CopyTo(publicSink); publicSink.MessageEnd(); }

调用方法：

GenerateRSAKeyPair(2048, "private.key", "public.key");

密钥长度建议：

注意：实际项目中，私钥应该加密存储并严格保护，这里为演示简化了存储方式。

3. 文件加密与解密实战

现在我们来实现核心功能——用RSA加密文件。假设我们要发送一个配置文件config.xml给合作伙伴：

#include <cryptopp/rsa.h> #include <cryptopp/files.h> #include <cryptopp/base64.h> void RSAEncryptFile(const char* pubKeyFile, const char* inputFile, const char* outputFile) { // 加载公钥 FileSource pubKey(pubKeyFile, true); RSA::PublicKey publicKey; publicKey.Load(pubKey); // 创建加密器 RSAES_OAEP_SHA_Encryptor encryptor(publicKey); // 读取文件内容 std::string plaintext; FileSource(inputFile, true, new StringSink(plaintext)); // 加密 AutoSeededRandomPool rng; std::string ciphertext; StringSource(plaintext, true, new PK_EncryptorFilter(rng, encryptor, new Base64Encoder( new StringSink(ciphertext) ) ) ); // 保存加密结果 FileSink(outputFile).Put((const byte*)ciphertext.data(), ciphertext.size()); } void RSADecryptFile(const char* privKeyFile, const char* inputFile, const char* outputFile) { // 加载私钥 FileSource privKey(privKeyFile, true); RSA::PrivateKey privateKey; privateKey.Load(privKey); // 创建解密器 RSAES_OAEP_SHA_Decryptor decryptor(privateKey); // 读取加密文件 std::string ciphertext; FileSource(inputFile, true, new StringSink(ciphertext)); // 解密 std::string decryptedtext; StringSource(ciphertext, true, new Base64Decoder( new PK_DecryptorFilter(rng, decryptor, new StringSink(decryptedtext) ) ) ); // 保存解密结果 FileSink(outputFile).Put((const byte*)decryptedtext.data(), decryptedtext.size()); }

使用示例：

// 发送方用接收方的公钥加密 RSAEncryptFile("partner_public.key", "config.xml", "config.enc"); // 接收方用自己的私钥解密 RSADecryptFile("my_private.key", "config.enc", "config_decrypted.xml");

4. 数字签名与验证实现

为确保文件在传输过程中未被篡改，我们需要数字签名机制。以下是完整实现：

#include <cryptopp/rsa.h> #include <cryptopp/sha.h> #include <cryptopp/pssr.h> #include <cryptopp/files.h> void SignFile(const char* privKeyFile, const char* inputFile, const char* signatureFile) { // 加载私钥 FileSource privKey(privKeyFile, true); RSA::PrivateKey privateKey; privateKey.Load(privKey); // 创建签名器 RSASS<PSS, SHA256>::Signer signer(privateKey); // 读取文件内容 std::string message; FileSource(inputFile, true, new StringSink(message)); // 生成签名 AutoSeededRandomPool rng; std::string signature; StringSource(message, true, new SignerFilter(rng, signer, new Base64Encoder( new StringSink(signature) ) ) ); // 保存签名 FileSink(signatureFile).Put((const byte*)signature.data(), signature.size()); } bool VerifyFile(const char* pubKeyFile, const char* inputFile, const char* signatureFile) { // 加载公钥 FileSource pubKey(pubKeyFile, true); RSA::PublicKey publicKey; publicKey.Load(pubKey); // 创建验证器 RSASS<PSS, SHA256>::Verifier verifier(publicKey); // 读取原始文件 std::string message; FileSource(inputFile, true, new StringSink(message)); // 读取签名 std::string signature; FileSource(signatureFile, true, new StringSink(signature)); // 验证签名 std::string decodedSignature; StringSource(signature, true, new Base64Decoder( new StringSink(decodedSignature) ) ); bool result = false; StringSource(decodedSignature + message, true, new SignatureVerificationFilter( verifier, new ArraySink((byte*)&result, sizeof(result)) ) ); return result; }

使用示例：

// 发送方生成签名 SignFile("my_private.key", "config.xml", "config.sig"); // 接收方验证签名 if(VerifyFile("sender_public.key", "config.xml", "config.sig")) { std::cout << "签名验证成功，文件未被篡改" << std::endl; } else { std::cerr << "警告：签名验证失败！" << std::endl; }

5. 性能优化与最佳实践

在实际项目中应用RSA时，需要注意以下关键点：

混合加密方案：

• RSA适合加密小块数据（如对称加密的密钥）
• 大文件应采用AES加密，再用RSA加密AES密钥
• 实现示例：

  void HybridEncrypt(const char* pubKeyFile, const char* inputFile, const char* outputFile) { // 生成随机AES密钥 AutoSeededRandomPool rng; SecByteBlock aesKey(AES::DEFAULT_KEYLENGTH); rng.GenerateBlock(aesKey, aesKey.size()); // 用AES加密文件 std::string ciphertext; CBC_Mode<AES>::Encryption aesEncryption(aesKey, AES::DEFAULT_KEYLENGTH); FileSource(inputFile, true, new StreamTransformationFilter(aesEncryption, new Base64Encoder( new StringSink(ciphertext) ) ) ); // 用RSA加密AES密钥 RSA::PublicKey publicKey; FileSource(pubKeyFile, true).TransferTo(publicKey); RSAES_OAEP_SHA_Encryptor rsaEncryptor(publicKey); std::string encryptedKey; StringSource(aesKey, aesKey.size(), true, new PK_EncryptorFilter(rng, rsaEncryptor, new Base64Encoder( new StringSink(encryptedKey) ) ) ); // 组合输出：RSA加密的AES密钥 + AES加密的文件内容 std::string finalOutput = encryptedKey + "\n" + ciphertext; FileSink(outputFile).Put((const byte*)finalOutput.data(), finalOutput.size()); }

错误处理增强：

• 添加密钥有效性检查：

  if(!privateKey.Validate(rng, 3)) { throw std::runtime_error("私钥验证失败"); }

• 文件操作增加异常捕获

内存安全：

• 使用SecByteBlock代替普通数组存储密钥
• 及时清空内存中的敏感数据：

  void CleanseMemory(void* ptr, size_t len) { volatile byte* p = (volatile byte*)ptr; while(len--) *p++ = 0; }

在实际项目中，我曾遇到过因为忽略密钥验证而导致的安全漏洞。后来我们建立了以下检查清单：

1. 所有密钥使用前必须验证
2. 内存中的临时密钥要及时清除
3. 文件权限要严格限制
4. 定期更换密钥对

这些经验教训让我们在后续项目中避免了类似问题。