python - 是否可以为以后的 session 保存 fernet key ？

Question

我是 python 的新手，我正在开发一个加密文本字符串的程序，然后将其保存到文件中。当我在同一个 session 中加密然后解密时，我的程序完美运行。我想做的是:加密一个文件，然后关闭程序，稍后再回来解密。我不知道密码模块是如何工作的，但判断它是如何被称为“ key ”的，我认为它对安全性很重要，但我不知道。当我尝试将 fernet key 保存到文本文件时，它显示一条错误消息。当我尝试解密在前一个 session 中加密的消息时，它显示 4 个引用加密模块的错误。最后，我想知道是否可以使用加密模块来解密 session 之间的数据。如果没有，是否有其他方法可以完成此任务？谢谢你的帮助。这是我的代码:

from cryptography.fernet import Fernet
key = Fernet.generate_key()
f = Fernet(key)
sel = input("Would you like to encrypt or decrypt? (1 = encrypt, 2 = decrypt) ")
if sel == 1:
    inp = raw_input("Enter Text: ")  # Type here
    encoded = f.encrypt(inp)
    a, b = encoded[:len(encoded)/2], encoded[len(encoded)/2:]
    print ("YOUR PASSWORD: ")
    print b
    file = open('password.txt', 'w')
    file.write(a)
elif sel == 2:
    inp = raw_input("Enter Password: ")
    file = open('password.txt', 'r')
    a = file.readline()
    combine = (a + inp)
    out = f.decrypt(combine)
    print out

这是当您输入上一个 session 的“密码”时发生的错误:

Traceback (most recent call last):
  File "/Users/Zak/PycharmProjects/Password/test.py", line 18, in <module>
    out = f.decrypt(combine)
  File "/Users/Zak/PycharmProjects/Password/venv/lib/python2.7/site-packages/cryptography/fernet.py", line 75, in decrypt
    return self._decrypt_data(data, timestamp, ttl)
  File "/Users/Zak/PycharmProjects/Password/venv/lib/python2.7/site-packages/cryptography/fernet.py", line 119, in _decrypt_data
    self._verify_signature(data)
  File "/Users/Zak/PycharmProjects/Password/venv/lib/python2.7/site-packages/cryptography/fernet.py", line 108, in _verify_signature
    raise InvalidToken
cryptography.fernet.InvalidToken

这也是当您编辑代码以将 key 保存到空白 .txt 文件时发生的情况。请记住，此错误不会反射(reflect)上面的代码。

Traceback (most recent call last):
  File "/Users/Zak/PycharmProjects/Password/test.py", line 5, in <module>
    file.write(f)
TypeError: expected a character buffer object

Answer 1

通过一些修改，您的脚本可以按您预期的方式工作(但阅读答案直到最后才能了解为什么这可能不是一个完全好的主意):

from cryptography.fernet import Fernet
sel = input("Would you like to encrypt or decrypt? (1 = encrypt, 2 = decrypt) ")
if sel == 1:
    key = Fernet.generate_key()
    print ("YOUR KEY: ")
    print key
    f = Fernet(key)
    inp = raw_input("Enter Text: ")  # Type here
    encoded = f.encrypt(inp)
    with open('encoded.txt', 'w') as file:
        file.write(encoded)
elif sel == 2:
    inp = raw_input("Enter Key: ")
    f = Fernet(inp)
    with open('encoded.txt', 'r') as file:
        encoded = file.readline()
    out = f.decrypt(encoded)
    print out

测试它:

$ python2 test.py 
Would you like to encrypt or decrypt? (1 = encrypt, 2 = decrypt) 1
YOUR KEY: 
gRNCcDPDnSzqT2RT4nFJA6MYtsJkBG85sMEy9TogRYg=
Enter Text: This is a secret
$ python2 test.py 
Would you like to encrypt or decrypt? (1 = encrypt, 2 = decrypt) 2
Enter Key: gRNCcDPDnSzqT2RT4nFJA6MYtsJkBG85sMEy9TogRYg=
This is a secret

您可能已经注意到我将单词 PASSWORD 更改为 KEY —— 因为那一长串字符实际上是 key (在 URL 安全、base64-编码形式)用于 encrypt() 和 decrypt() 转换。

在实践中，这通常不是您要做的。 key 无法记住，人们通常会将其存储在文件中的某个位置并使用复制粘贴来输入。这会增加 key 泄露的风险。

作为替代方案，可以使用所谓的 key 派生机制。在这种情况下，key 字节不是使用 Fernet.generate_key() 函数随机生成的，而是使用应用于 a 的 key 派生函数计算的，更容易记住但精心挑选的密码。有关示例，请参阅 Using passwords with Fernet 部分.