CN110543772A - 离线解密方法和装置 - Google Patents
离线解密方法和装置 Download PDFInfo
- Publication number
- CN110543772A CN110543772A CN201910786310.3A CN201910786310A CN110543772A CN 110543772 A CN110543772 A CN 110543772A CN 201910786310 A CN201910786310 A CN 201910786310A CN 110543772 A CN110543772 A CN 110543772A
- Authority
- CN
- China
- Prior art keywords
- decryption
- key
- user credential
- level
- decrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
Abstract
上述本申请实施例公开了离线解密方法和装置。该方法的一具体实施方式包括:获取待解密文件;确定待解密文件的级别;基于级别,确定待解密文件的主密钥;获取第一加密数据,并基于主密钥对第一加密数据进行解密,得到数据库密钥;获取解密密钥信息和第二加密数据,并基于解密密钥信息和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥;获取用户凭据信息和用户凭据加密数据,并基于用户凭据信息、用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据。该实施方式无需依赖于目标数据源所在的操作系统,采用离线的方式,即可对相应级别的待解密文件进行解密,同时也满足了对待解密的数据的只读操作和跨平台解密的需求。
Description
技术领域
本申请实施例涉及计算机技术领域,具体涉及离线解密方法和装置。
背景技术
随着社会和科技的进步,电子产品和网络应用变得越来越普及,它们给人们的生活带来便利的同时,也带了很多信息安全问题,因此,人们开始更加注重信息安全和数据加密问题。
针对这一问题,目前有一种存储凭据的密码保护机制——macOS Keychain,macOSKeychain是应用在macOS操作系统的一种用来存储凭据的密码保护机制,它提供一组Keychain API给应用程序使用,每个应用程序可以直接调用API(ApplicationProgramming Interface,应用程序编程接口)去存储、读取、修改凭据。Keychain加密存储着敏感数据,包括应用程序帐户密码、网络连接帐户密码、电子邮箱帐户密码、浏览器上网自动填充表单、公(私)用密钥、证书等凭据。另外,用户还可以使用Keychain的安全备注功能去加密存储重要信息。所以,离线解析macOS Keychain加密数据对电子数据取证具有重要的意义。
macOS Keychain加密过程如图1所示,整个加密过程主要分成四个步骤,分别为获取主密钥、解密数据库密钥、生成加密/解密密钥以及使用加密/解密密钥加密数据。
(1)获取主密钥
执行该步骤需要区分Keychain级别,执行不同的内容获取主密钥。
如果是系统级别Keychain,主密钥保存在本地文件中,该文件需要管理员权限才能访问,所以需要先输入系统管理员帐户、密码去获取权限,然后读取该密钥存放文件去提取主密钥。
如果是用户级别Keychain或用户自定义Keychain,输入用户密码或钥匙串密码,再从CSSM_DL_DB_RECORD_METADATA表中获取Salt。使用用户密码\钥匙串密码、Salt进行pbkdf2算法计算得到主密钥。pdkdf2算法用到的哈希算法是带hmac key值的sha1算法。
(2)解密数据库密钥
从CSSM_DL_DB_RECORD_METADATA表中获取加密数据块、8字节IV,使用IV和步骤(1)中获取到的主密钥对加密数据块进行解密,得到的明文数据为数据库密钥。该步骤中的解密算法使用到CBC模式的3DES解密算法。
(3)生成加密/解密密钥
随机生成24字节加密/解密密钥、8字节IV。使用0x4ADDA22C79E82105、IV和步骤(2)中获取到的数据库密钥对加密/解密密钥进行加密得到加密/解密密钥密文,并保存加密/解密密钥密文和IV到CSSM_DL_DB_RECORD_SYMMETRIC_KEY表中以供后续解密Keychain的时候使用。该步骤中的加密算法使用到CBC模式的3DES加密算法。
(4)使用加密/解密密钥加密数据
生成8字节IV,使用IV和步骤(3)中生成的加密/解密密钥对需要加密的明文数据进行加密得到密文数据,保存密文数据和IV到对应的凭据信息表。该步骤中的加密算法使用到CBC模式的3DES加密算法。
发明内容
本申请实施例的目的在于提出了一种改进的离线解密方法和装置,来解决以上背景技术部分提到的技术问题。
第一方面,本申请实施例提供了一种离线解密方法,该方法包括:获取待解密文件;确定待解密文件的级别;基于级别,确定待解密文件的主密钥;获取第一加密数据,并基于主密钥对第一加密数据进行解密,得到数据库密钥;获取解密密钥信息和第二加密数据,并基于解密密钥信息和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥;获取用户凭据信息和用户凭据加密数据,并基于用户凭据信息、用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据。
在一些实施例中,确定待解密文件的级别,包括:基于待解密文件的存储路径和文件名,确定待解密文件的级别,其中,级别包括以下至少一种:系统级别、用户级别、自定义级别。
在一些实施例中,基于级别,确定待解密文件的主密钥,包括:响应于确定级别为系统级别,从目标数据源中获取主密钥文件,并从主密钥文件中读取主密钥;响应于确定级别为用户级别或自定义级别,获取输入的用户密码或钥匙串密码,并获取主密钥计算参数,其中,用户密码对应于用户级别,钥匙串密码对应于自定义级别;基于主密钥计算参数,以及用户密码或钥匙串密码,计算得到主密钥。
在一些实施例中,获取第一加密数据,并基于主密钥对第一加密数据进行解密,得到数据库密钥,包括:从数据元信息表中获取第一加密数据和第一解密用向量;基于主密钥和第一解密用向量,对第一加密数据进行解密,得到数据库密钥。
在一些实施例中,获取解密密钥信息和第二加密数据,并基于解密密钥信息和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥,包括:从对称密钥表中获取解密密钥信息和第二加密数据,其中,解密密钥信息包括第二解密用向量;基于第二解密用向量和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥。
在一些实施例中,获取用户凭据信息和用户凭据加密数据,并基于用户凭据信息、用户凭据解密密钥,对用户凭据加密数据进行解密,得到用户凭据,包括:分别从通用用户凭据表、互联网用户凭据表、共享凭据表中获取用户凭据信息和用户凭据加密数据,其中,用户凭据信息包括第三解密用向量;基于第三解密用向量和用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据。
第二方面,本申请实施例提供了一种离线解密装置,该装置包括:获取模块,用于获取待解密文件;第一确定模块,用于确定待解密文件的级别;第二确定模块,用于基于级别,确定待解密文件的主密钥;第一解密模块,用于获取第一加密数据,并基于主密钥对第一加密数据进行解密,得到数据库密钥;第二解密模块,用于获取解密密钥信息和第二加密数据,并基于解密密钥信息和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥;第三解密模块,用于获取用户凭据信息和用户凭据加密数据,并基于用户凭据信息、用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据。
在一些实施例中,第一确定模块进一步用于:基于待解密文件的存储路径和文件名,确定待解密文件的级别,其中,级别包括以下至少一种:系统级别、用户级别、自定义级别。
在一些实施例中,第二确定模块进一步用于:响应于确定级别为系统级别,从目标数据源中获取主密钥文件,并从主密钥文件中读取主密钥;响应于确定级别为用户级别或自定义级别,获取输入的用户密码或钥匙串密码,并获取主密钥计算参数,其中,用户密码对应于用户级别,钥匙串密码对应于自定义级别;基于主密钥计算参数,以及用户密码或钥匙串密码,计算得到主密钥。
在一些实施例中,第一解密模块包括:第一获取单元,用于从数据元信息表中获取第一加密数据和第一解密用向量;第一解密单元,用于基于主密钥和第一解密用向量,对第一加密数据进行解密,得到数据库密钥。
在一些实施例中,第二解密模块包括:第二获取单元,用于从对称密钥表中获取解密密钥信息和第二加密数据,其中,解密密钥信息包括第二解密用向量;第二解密单元,用于基于第二解密用向量和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥。
在一些实施例中,第三解密模块包括:第三获取单元,用于分别从通用用户凭据表、互联网用户凭据表、共享凭据表中获取用户凭据信息和用户凭据加密数据,其中,用户凭据信息包括第三解密用向量;第三解密单元,用于基于第三解密用向量和用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据。
第三方面,本申请实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。
本申请实施例提供的离线解密方法和装置,通过获取待解密文件并确定待解密文件的级别,基于级别确定主密钥,再基于主密钥对第一加密数据进行解密,得到数据库密钥,然后基于解密密钥信息和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥,最后获取用户凭据信息和用户凭据加密数据,并基于用户凭据信息、用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据,从而实现了无需依赖于目标数据源所在的操作系统,采用离线的方式,即可对相应级别的待解密文件进行解密,同时也满足了对待解密的数据的只读操作和跨平台解密的需求。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是与本申请相关的macOS Keychain加密过程的示意图;
图2是本申请可以应用于其中的示例性系统架构图;
图3是根据本申请的离线解密方法的一个实施例的流程图;
图4是与本申请相关的Keychain数据库的结构示意图;
图5是根据本申请的离线解密方法的数据表的结构示意图;
图6是根据本申请的离线解密装置的一个实施例的结构示意图;
图7是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图2示出了可以应用本申请实施例的离线解密方法的示例性系统架构200。
如图2所示,系统架构200可以包括终端设备201,网络202,和服务器203。网络202用以在终端设备201和服务器203之间提供通信链路的介质。网络202可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
服务器203可以是提供各种服务的服务器,例如对从终端设备201获取的待解密文件进行离线解密的后台解密服务器。后台解密服务器可以对获取的待解密文件进行处理,并得到处理结果(例如解密后得到的解密后用户凭据)。
需要说明的是,本公开实施例所提供的离线解密方法可以由终端设备201执行,也可以由服务器203执行,相应地,离线解密装置可以设置于终端设备201中,也可以设置于服务器203中。
应该理解,图2中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络、中间设备和服务器。在待解密文件不需要从远程获取的情况下,上述系统架构可以不包括网络,只包括终端设备或服务器。
继续参考图3,其示出了根据本申请的应离线解密方法的一个实施例的流程300。该方法包括以下步骤:
步骤301,获取待解密文件。
在本实施例中,离线解密方法的执行主体(例如图1所示的终端设备或服务器)可以从远程或从本地获取待解密文件。其中,待解密文件可以是在特定的操作系统中设置的用户凭据保护文件。例如,待解密文件可以是macOS操作系统中的Keychain文件。上述执行主体可以通过识别Keychain文件的后缀和签名,获取待解密Keychain文件。
Keychain是一个复杂的文件,包含一个以big endian格式存储的二进制数据库。参考图4,示出了Keychain数据库的结构示意图。
数据库头由五个4字节字段组成:签名、版本、数据库头部大小、模式偏移和未知填充字节,其中签名为“kych”。
数据库模式包含数据表的信息,包括表的数量和每张表的相对偏移,其中表的相对偏移是相对于数据库模式起始位置的偏移。
Keychain数据库中每张数据表具有相同的表结构,由表信息块、一张记录偏移表和数个记录组成。表信息块有七个4字节字段:表大小、表ID、记录数Count、第一条记录偏移、记录偏移表的偏移、空闲列表偏移、记录数,其中,表ID表示每张表的记录类型。表信息块后面紧跟着记录偏移表,可以中该表中获取到该表所有记录的偏移。此处需要注意的是,记录的偏移不为0且是4的倍数,当遇到不满足条件的偏移地址,跳过该偏移,继续往后获取记录偏移,直到获取到Count条记录偏移。
数据表的命名空间分为模式管理、开放组应用程序和大型应用程序行业三种,具体表类型见表1:
表1数据库模式中的表类型
不同的数据表存储不同的记录类型,本申请实施例主要使用到其中五个表:
1、CSSM_DL_DB_RECORD_METADATA,主要存放数据库密钥相关信息,该表记录结构如图5(a)所示。
2、CSSM_DL_DB_RECORD_SYMMETRIC_KEY,主要存放加密/解密密钥相关信息,该表记录结构如图5(b)所示。
3、CSSM_DL_DB_RECORD_GENERIC_PASSWORD,主要存放用户凭据信息,该表记录结构如图5(c)所示。
4、CSSM_DL_DB_RECORD_INTERNET_PASSWORD,主要存放互联网上的用户凭据信息,该表记录结构与CSSM_DL_DB_RECORD_GENERIC_PASSWORD记录相似。
5、CSSM_DL_DB_RECORD_APPLESHARE_PASSWORD,主要存放Apple共享凭据信息,该表记录结构与CSSM_DL_DB_RECORD_GENERIC_PASSWORD记录相似。
步骤302,确定待解密文件的级别。
在本实施例中,上述执行主体可以确定待解密文件的级别。其中,待解密文件的级别可以为系统级别或用户级别或用户自定义级别。系统级别的待解密文件是系统相关的待解密文件,用户级别的待解密文件可以是与用户相关的待解密文件,自定义级别的待解密文件可以是基于用户定义的信息(例如各种密码)生成的待解密文件。上述执行主体可以按照各种方式确定待解密文件的级别。例如通过存储路径确定待解密文件的级别。
在本实施例的一些可选的实现方式中,上述执行主体可以按照如下步骤确定待解密文件的级别:
基于待解密文件的存储路径和/或文件名,确定待解密文件的级别。其中,级别包括以下至少一种:系统级别、用户级别、自定义级别。作为示例,假设待解密文件为Keychain文件,如果路径为\Library\Keychains,且文件名为System.keychain,则为系统级别Keychain。如果路径为~\Library\Keychains且文件名为login.keychain或login.keychain-db,则为用户级别Keychain;其余后缀为keychain或keychain-db的文件判定为用户自定义Keychain。本可选的实现方式可以快速、准确地确定待解密文件的级别,从而有利于根据级别进行后续的解密操作。
步骤303,基于级别,确定待解密文件的主密钥。
在本实施例中,上述执行主体可以基于级别,确定待解密文件的主密钥。具体地,上述执行主体针对不同的级别(例如用户级别或系统级别),分别采用相应的方式获得主密钥。
在本实施例的一些可选的实现方式中,上述执行主体可以按照如下步骤确定待解密文件的主密钥:
响应于确定级别为系统级别,从目标数据源中获取主密钥文件,并从主密钥文件中读取主密钥。具体地,当待解密文件为Keychain文件时,如果待解密文件是系统级别Keychain,通过主密钥文件的特征扫描系统分区获取对应的主密钥文件,从主密钥文件中读取密钥作为主密钥。目标数据源可以是待解密文件所在的数据集合。
响应于确定级别为用户级别或自定义级别,上述执行主体可以首先获取输入的用户密码或钥匙串密码,并获取主密钥计算参数,其中,用户密码对应于用户级别,钥匙串密码对应于自定义级别。作为示例,上述主密钥计算参数可以是20字节Salt数据。通常,20字节Salt数据可以存储在Keychain数据库中的数据元表(表1中的CSSM_DL_DB_RECORD_METADATA)中。
然后,上述执行主体可以基于主密钥计算参数,以及用户密码或钥匙串密码,计算得到主密钥。作为示例,上述执行主体可以利用pbkdf2算法(可以包括带hmac key值的sha1算法)主密钥计算参数和用户密码作为参数,或将主密钥计算参数和钥匙串密码作为参数,计算得到主密钥。本实现方式可以根据待解密文件的级别,有针对性地确定主密钥,从而有助于准确地进行离线解密。
步骤304,获取第一加密数据,并基于主密钥对第一加密数据进行解密,得到数据库密钥。
在本实施例中,上述执行主体可以获取第一加密数据,并基于主密钥对第一加密数据进行解密,得到数据库密钥。第一加密数据可以是预先存储的数据,该加密数据可以用于确定数据库密钥。
在本实施例的一些可选的实现方式中,上述执行主体可以按照如下步骤得到数据库密钥:
首先,从数据元信息表中获取第一加密数据和第一解密用向量。作为示例,数据元信息表可以是如上述表1中所示的CSSM_DL_DB_RECORD_METADATA表,该表中可以存储有第一加密数据(例如图5(a)中所示的加密数据块)和第一解密用向量(例如图5(a)中所示的8字节IV)。
然后,基于主密钥和第一解密用向量,对第一加密数据进行解密,得到数据库密钥。作为示例,上述执行主体可以将第一解密用向量和主密钥作为参数,对第一加密数据块进行解密,解密后的数据为数据库密钥。其中,本实现方式中的解密算法可以包括CBC模式的3DES解密算法。本实现方式通过从数据元信息表中获取第一加密数据和第一解密用向量,可以快速、准确地对第一加密数据进行解密,提高离线解密的效率。
步骤305,获取解密密钥信息和第二加密数据,并基于解密密钥信息和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥。
在本实施例中,上述执行主体可以获取解密密钥信息和第二加密数据,并基于解密密钥信息和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥。第二加密数据可以是预先存储的数据,该加密数据可以用于确定用户凭据解密密钥。
在本实施例的一些可选的实现方式中,上述执行主体可以按照如下步骤得到用户凭据解密密钥:
首先,从对称密钥表中获取解密密钥信息和第二加密数据,其中,解密密钥信息包括第二解密用向量。作为示例,对称密钥表可以是上述表1中所示的CSSM_DL_DB_RECORD_SYMMETRIC_KEY,该对称密钥表包括的解密密钥信息可以包括如图5(b)中所示的8字节IV(即第二解密用向量)、SSGP签名等。该对称密钥表包括的第二加密数据可以是如图5(b)中所示的加密数据块。
然后,基于第二解密用向量和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥。作为示例,可以将常数0x4ADDA22C79E82105、第二解密用向量以及数据库密钥作为参数,对第二加密数据进行解密,得到用户凭据解密密钥。其中,本实现方式用到的解密算法可以包括CBC模式的3DES解密算法。通常,用户凭据解密密钥可以为链表的形式。本实现方式通过从对称密钥表中获取解密密钥信息和第二加密数据,可以准确地、高效地对第二加密数据进行解密,有助于提高离线解密的准确性和效率。
步骤306,获取用户凭据信息和用户凭据加密数据,并基于用户凭据信息、用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据。在本实施例中,上述执行主体可以获取用户凭据信息和用户凭据加密数据,并基于用户凭据信息、用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据。其中,用户凭据信息可以包括用来解密的参数(例如8字节IV等)以及部分明文的凭据信息(如帐户名、应用类型等)。
用户凭据信息可以包括但不限于以下至少一种:操作系统(例如macOS操作系统)中的用户凭据信息、互联网上的用户凭据信息、操作系统共享的用户凭据信息。解密后用户凭据可以是用户访问某些特定的数据的凭据,作为示例,解密后用户凭据可以包括但不限于以下至少一种信息:应用密码、安全备注密码等。
在本实施例的一些可选的实现方式中,上述执行主体可以按照如下步骤得到解密后用户凭据:
首先,分别从通用用户凭据表、互联网用户凭据表、共享凭据表中获取用户凭据信息和用户加密用数据,其中,用户凭据信息包括第三解密用向量。作为示例,通用用户凭据表可以为如上述表1所示的CSSM_DL_DB_RECORD_GENERIC_PASSWORD,互联网用户凭据表可以为如上述表1所示的CSSM_DL_DB_RECORD_INTERNET_PASSWORD,共享凭据表可以为如上述表1所示的CSSM_DL_DB_RECORD_APPLESHARE_PASSWORD。每个用户凭据信息中均可以包括第三解密用向量(例如图5(c)中所示的8字节IV)和用户加密用数据(例如图5(c)中所示的加密数据块)。此外,每个用户凭据信息还可以包括凭据类型、加密数据块、SSGP签名。
然后,基于第三解密用向量和用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据。通常,可以使用SSGP签名到上述可选的实现方式中描述的解密密钥链表中匹配对应的解密密钥作为用户凭据解密密钥。将用户凭据解密密钥、第三解密用向量作为参数,对用户凭据加密数据解密,解密后的明文为解密后用户凭据。其中,本实现方式中所用的解密算法可以为CBC模式的3DES解密算法。本实现方式通过从通用用户凭据表、互联网用户凭据表、共享凭据表中获取用户凭据信息和用户加密用数据,可以更全面准确地获得解密后用户凭据。
本申请的上述实施例提供的方法,通过获取待解密文件并确定待解密文件的级别,基于级别确定主密钥,再基于主密钥对第一加密数据进行解密,得到数据库密钥,然后基于解密密钥信息和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥,最后获取用户凭据信息和用户凭据加密数据,并基于用户凭据信息、用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据,从而实现了无需依赖于目标数据源所在的操作系统,采用离线的方式,即可对相应级别的待解密文件进行解密,同时也满足了对待解密的数据的只读操作和跨平台解密的需求。
进一步参考图6,作为对上述各图所示方法的实现,本申请提供了一种离线解密装置的一个实施例,该装置实施例与图3所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图6所示,本实施例的离线解密装置600包括:获取模块601,用于获取待解密文件;第一确定模块602,用于确定待解密文件的级别;第二确定模块603,用于基于级别,确定待解密文件的主密钥;第一解密模块604,用于获取第一加密数据,并基于主密钥对第一加密数据进行解密,得到数据库密钥;第二解密模块605,用于获取解密密钥信息和第二加密数据,并基于解密密钥信息和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥;第三解密模块606,用于获取用户凭据信息和用户凭据加密数据,并基于用户凭据信息、用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据。
在本实施例中,获取模块601可以从远程或从本地获取待解密文件。其中,待解密文件可以是在特定的操作系统中设置的用户凭据保护文件。例如,待解密文件可以是macOS操作系统中的Keychain文件。获取模块601可以通过识别Keychain文件的后缀和签名,获取待解密Keychain文件。
在本实施例中,第一确定模块602可以确定待解密文件的级别。其中,待解密文件的级别可以为系统级别或用户级别或用户自定义级别。系统级别的待解密文件是系统相关的待解密文件,用户级别的待解密文件可以是与用户相关的待解密文件,自定义级别的待解密文件可以是基于用户定义的信息(例如各种密码)生成的待解密文件。上述第一确定模块602可以按照各种方式确定待解密文件的级别。例如通过存储路径确定待解密文件的级别。
在本实施例中,第二确定模块603可以基于级别,确定待解密文件的主密钥。具体地,上述第二确定模块603针对不同的级别(例如用户级别或系统级别),分别采用相应的方式获得主密钥。
在本实施例中,第一解密模块604可以获取第一加密数据,并基于主密钥对第一加密数据进行解密,得到数据库密钥。第一加密数据可以是预先存储的数据,该加密数据可以用于确定数据库密钥。
在本实施例中,第二解密模块605可以获取解密密钥信息和第二加密数据,并基于解密密钥信息和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥。第二加密数据可以是预先存储的数据,该加密数据可以用于确定用户凭据解密密钥。
在本实施例中,第三解密模块606可以获取用户凭据信息和用户凭据加密数据,并基于用户凭据信息、用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据。其中,用户凭据信息可以包括但不限于以下至少一种:操作系统(例如macOS操作系统)中的用户凭据信息、互联网上的用户凭据信息、操作系统共享的用户凭据信息。解密后用户凭据可以是用户访问某些特定的数据的凭据,作为示例,解密后用户凭据可以包括但不限于以下至少一种信息:应用密码、安全备注密码等。
在本实施例的一些可选的实现方式中,第一确定模块602可以进一步用于:基于待解密文件的存储路径和文件名,确定待解密文件的级别,其中,级别包括以下至少一种:系统级别、用户级别、自定义级别。
在本实施例的一些可选的实现方式中,第二确定模块603可以进一步用于:响应于确定级别为系统级别,从目标数据源中获取主密钥文件,并从主密钥文件中读取主密钥;响应于确定级别为用户级别或自定义级别,获取输入的用户密码或钥匙串密码,并获取主密钥计算参数,其中,用户密码对应于用户级别,钥匙串密码对应于自定义级别;基于主密钥计算参数,以及用户密码或钥匙串密码,计算得到主密钥。
在本实施例的一些可选的实现方式中,第一解密模块604可以包括:第一获取单元(图中未示出),用于从数据元信息表中获取第一加密数据和第一解密用向量;第一解密单元(图中未示出),用于基于主密钥和第一解密用向量,对第一加密数据进行解密,得到数据库密钥。
在本实施例的一些可选的实现方式中,第二解密模块605可以包括:第二获取单元(图中未示出),用于从对称密钥表中获取解密密钥信息和第二加密数据,其中,解密密钥信息包括第二解密用向量;第二解密单元(图中未示出),用于基于第二解密用向量和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥。
在本实施例的一些可选的实现方式中,第三解密模块606可以包括:第三获取单元(图中未示出),用于分别从通用用户凭据表、互联网用户凭据表、共享凭据表中获取用户凭据信息和用户凭据加密数据,其中,用户凭据信息包括第三解密用向量;第三解密单元(图中未示出),用于基于第三解密用向量和用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据。
本申请的上述实施例提供的装置,通过获取待解密文件并确定待解密文件的级别,基于级别确定主密钥,再基于主密钥对第一加密数据进行解密,得到数据库密钥,然后基于解密密钥信息和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥,最后获取用户凭据信息和用户加密数据,并基于用户凭据信息、用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据,从而实现了无需依赖于目标数据源所在的操作系统,采用离线的方式,即可对相应级别的待解密文件进行解密,同时也满足了对待解密的数据的只读操作和跨平台解密的需求。
下面参考图7,其示出了适于用来实现本申请实施例的电子设备的计算机系统700的结构示意图。图7示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本申请的方法中限定的上述功能。
需要说明的是,本申请所述的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括获取模块、第一确定模块、第二确定模块、第一解密模块、第二解密模块和第三解密模块。其中,这些模块的名称在某种情况下并不构成对该单元本身的限定,例如,获取模块还可以被描述为“用于获取待解密文件的模块”。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取待解密文件;确定待解密文件的级别;基于级别,确定待解密文件的主密钥;获取第一加密数据,并基于主密钥对第一加密数据进行解密,得到数据库密钥;获取解密密钥信息和第二加密数据,并基于解密密钥信息和数据库密钥,对第二加密数据进行解密,得到用户凭据解密密钥;获取用户凭据信息和用户凭据加密数据,并基于用户凭据信息、用户凭据解密密钥,对用户凭据加密数据进行解密,得到解密后用户凭据。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (14)
1.一种离线解密方法,其特征在于,所述方法包括:
获取待解密文件;
确定所述待解密文件的级别;
基于所述级别,确定所述待解密文件的主密钥;
获取第一加密数据,并基于所述主密钥对所述第一加密数据进行解密,得到数据库密钥;
获取解密密钥信息和第二加密数据,并基于所述解密密钥信息和所述数据库密钥,对所述第二加密数据进行解密,得到用户凭据解密密钥;
获取用户凭据信息和用户凭据加密数据,并基于所述用户凭据信息、所述用户凭据解密密钥,对所述用户凭据加密数据进行解密,得到解密后用户凭据。
2.根据权利要求1所述的方法,其特征在于,所述确定所述待解密文件的级别,包括:
基于所述待解密文件的存储路径和文件名,确定所述待解密文件的级别,其中,所述级别包括以下至少一种:系统级别、用户级别、自定义级别。
3.根据权利要求2所述的方法,其特征在于,所述基于所述级别,确定所述待解密文件的主密钥,包括:
响应于确定所述级别为系统级别,从目标数据源中获取主密钥文件,并从主密钥文件中读取主密钥;
响应于确定所述级别为用户级别或自定义级别,获取输入的用户密码或钥匙串密码,并获取主密钥计算参数,其中,所述用户密码对应于用户级别,钥匙串密码对应于自定义级别;基于所述主密钥计算参数,以及所述用户密码或钥匙串密码,计算得到主密钥。
4.根据权利要求1所述的方法,其特征在于,所述获取第一加密数据,并基于所述主密钥对所述第一加密数据进行解密,得到数据库密钥,包括:
从数据元信息表中获取第一加密数据和第一解密用向量;
基于所述主密钥和所述第一解密用向量,对所述第一加密数据进行解密,得到数据库密钥。
5.根据权利要求1所述的方法,其特征在于,所述获取解密密钥信息和第二加密数据,并基于所述解密密钥信息和所述数据库密钥,对所述第二加密数据进行解密,得到用户凭据解密密钥,包括:
从对称密钥表中获取解密密钥信息和第二加密数据,其中,所述解密密钥信息包括第二解密用向量;
基于所述第二解密用向量和所述数据库密钥,对所述第二加密数据进行解密,得到用户凭据解密密钥。
6.根据权利要求1所述的方法,其特征在于,所述获取用户凭据信息和用户凭据加密数据,并基于所述用户凭据信息、所述用户凭据解密密钥,对所述用户凭据加密数据进行解密,得到用户凭据信息,包括:
分别从通用用户凭据表、互联网用户凭据表、共享凭据表中获取用户凭据信息和用户凭据加密数据,其中,所述用户凭据信息包括第三解密用向量;
基于所述第三解密用向量和所述用户凭据解密密钥,对所述用户凭据加密数据进行解密,得到解密后用户凭据。
7.一种离线解密装置,其特征在于,所述装置包括:
获取模块,用于获取待解密文件;
第一确定模块,用于确定所述待解密文件的级别;
第二确定模块,用于基于所述级别,确定所述待解密文件的主密钥;
第一解密模块,用于获取第一加密数据,并基于所述主密钥对所述第一加密数据进行解密,得到数据库密钥;
第二解密模块,用于获取解密密钥信息和第二加密数据,并基于所述解密密钥信息和所述数据库密钥,对所述第二加密数据进行解密,得到用户凭据解密密钥;
第三解密模块,用于获取用户凭据信息和用户凭据加密数据,并基于所述用户凭据信息、所述用户凭据解密密钥,对所述用户凭据加密数据进行解密,得到解密后用户凭据。
8.根据权利要求7所述的装置,其特征在于,所述第一确定模块进一步用于:
基于所述待解密文件的存储路径和文件名,确定所述待解密文件的级别,其中,所述级别包括以下至少一种:系统级别、用户级别、自定义级别。
9.根据权利要求8所述的装置,其特征在于,所述第二确定模块进一步用于:
响应于确定所述级别为系统级别,从目标数据源中获取主密钥文件,并从主密钥文件中读取主密钥;
响应于确定所述级别为用户级别或自定义级别,获取输入的用户密码或钥匙串密码,并获取主密钥计算参数,其中,所述用户密码对应于用户级别,钥匙串密码对应于自定义级别;基于所述主密钥计算参数,以及所述用户密码或钥匙串密码,计算得到主密钥。
10.根据权利要求7所述的装置,其特征在于,所述第一解密模块包括:
第一获取单元,用于从数据元信息表中获取第一加密数据和第一解密用向量;
第一解密单元,用于基于所述主密钥和所述第一解密用向量,对所述第一加密数据进行解密,得到数据库密钥。
11.根据权利要求7所述的装置,其特征在于,所述第二解密模块包括:
第二获取单元,用于从对称密钥表中获取解密密钥信息和第二加密数据,其中,所述解密密钥信息包括第二解密用向量;
第二解密单元,用于基于所述第二解密用向量和所述数据库密钥,对所述第二加密数据进行解密,得到用户凭据解密密钥。
12.根据权利要求7所述的装置,其特征在于,所述第三解密模块包括:
第三获取单元,用于分别从通用用户凭据表、互联网用户凭据表、共享凭据表中获取用户凭据信息和用户凭据加密数据,其中,所述用户凭据信息包括第三解密用向量;
第三解密单元,用于基于所述第三解密用向量和所述用户凭据解密密钥,对所述用户凭据加密数据进行解密,得到解密后用户凭据。
13.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910786310.3A CN110543772A (zh) | 2019-08-23 | 2019-08-23 | 离线解密方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910786310.3A CN110543772A (zh) | 2019-08-23 | 2019-08-23 | 离线解密方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110543772A true CN110543772A (zh) | 2019-12-06 |
Family
ID=68711965
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910786310.3A Pending CN110543772A (zh) | 2019-08-23 | 2019-08-23 | 离线解密方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110543772A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404943A (zh) * | 2020-03-18 | 2020-07-10 | 腾讯科技(深圳)有限公司 | 数据的处理方法、装置、电子设备及计算机可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101034424A (zh) * | 2007-01-12 | 2007-09-12 | 深圳兆日技术有限公司 | 一种数据安全存储系统和装置及方法 |
| CN101112035A (zh) * | 2005-01-28 | 2008-01-23 | 株式会社Oak情报系统 | 文件加密/解密方法、装置、程序以及存储了该程序的计算机可读记录介质 |
| CN102750495A (zh) * | 2012-06-07 | 2012-10-24 | 北京锐安科技有限公司 | iPhone手机加密备份文件的破解及还原系统 |
| CN103209202A (zh) * | 2012-01-16 | 2013-07-17 | 联想(北京)有限公司 | 用于传输数据的方法和设备 |
| CN104284208A (zh) * | 2014-10-23 | 2015-01-14 | 航天数字传媒有限公司 | 通过aes-cbc算法进行并行加密的方法及系统 |
| CN109711175A (zh) * | 2018-12-11 | 2019-05-03 | 武汉达梦数据库有限公司 | 一种数据库加密方法和装置 |
| CN109962784A (zh) * | 2019-03-22 | 2019-07-02 | 西安电子科技大学 | 一种基于数字信封多证书的数据加解密及恢复方法 |
-
2019
- 2019-08-23 CN CN201910786310.3A patent/CN110543772A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101112035A (zh) * | 2005-01-28 | 2008-01-23 | 株式会社Oak情报系统 | 文件加密/解密方法、装置、程序以及存储了该程序的计算机可读记录介质 |
| CN101034424A (zh) * | 2007-01-12 | 2007-09-12 | 深圳兆日技术有限公司 | 一种数据安全存储系统和装置及方法 |
| CN103209202A (zh) * | 2012-01-16 | 2013-07-17 | 联想(北京)有限公司 | 用于传输数据的方法和设备 |
| CN102750495A (zh) * | 2012-06-07 | 2012-10-24 | 北京锐安科技有限公司 | iPhone手机加密备份文件的破解及还原系统 |
| CN104284208A (zh) * | 2014-10-23 | 2015-01-14 | 航天数字传媒有限公司 | 通过aes-cbc算法进行并行加密的方法及系统 |
| CN109711175A (zh) * | 2018-12-11 | 2019-05-03 | 武汉达梦数据库有限公司 | 一种数据库加密方法和装置 |
| CN109962784A (zh) * | 2019-03-22 | 2019-07-02 | 西安电子科技大学 | 一种基于数字信封多证书的数据加解密及恢复方法 |
Non-Patent Citations (1)
| Title |
|---|
| KYEONGSIK LEE, ET AL.: "Keychain Analysis with Mac OS X Memory Forensics", 《HTTPS://REPO.ZENK-SECURITY.COM/FORENSIC/KEYCHAIN%20ANALYSIS%20WITH%20 MAC%20OS%20X%20MEMORY%20FORENSICS.PDF》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404943A (zh) * | 2020-03-18 | 2020-07-10 | 腾讯科技(深圳)有限公司 | 数据的处理方法、装置、电子设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11520912B2 (en) | Methods, media, apparatuses and computing devices of user data authorization based on blockchain | |
| US10917394B2 (en) | Data operations using a proxy encryption key | |
| US10129028B2 (en) | Relational encryption for password verification | |
| US8874922B2 (en) | Systems and methods for multi-layered authentication/verification of trusted platform updates | |
| CN107248984B (zh) | 数据交换系统、方法和装置 | |
| US20160321465A1 (en) | System and method for providing data security in a hosted service system | |
| EP3903212A1 (en) | Data sharing | |
| JP2014119486A (ja) | 秘匿検索処理システム、秘匿検索処理方法、および秘匿検索処理プログラム | |
| JP2008109662A (ja) | 暗号化キーの管理及び自動生成のためのシステム、方法、及びコンピュータ・プログラム | |
| CN108777685B (zh) | 用于处理信息的方法和装置 | |
| EP4273843A1 (en) | Data sharing system, data sharing method, and data sharing program | |
| CN108923925B (zh) | 应用于区块链的数据存储方法和装置 | |
| US10963593B1 (en) | Secure data storage using multiple factors | |
| US20140059341A1 (en) | Creating and accessing encrypted web based content in hybrid applications | |
| JP2021168518A (ja) | 情報処理システム、情報処理装置、情報処理方法、および、情報処理プログラム | |
| CN112733180A (zh) | 数据查询方法、装置和电子设备 | |
| CN110737905B (zh) | 数据授权方法、数据授权装置及计算机存储介质 | |
| CN116383867A (zh) | 一种数据查询方法、装置、电子设备及计算机可读介质 | |
| CN109711178B (zh) | 一种键值对的存储方法、装置、设备及存储介质 | |
| US10826693B2 (en) | Scalable hardware encryption | |
| CN111010283B (zh) | 用于生成信息的方法和装置 | |
| CN110543772A (zh) | 离线解密方法和装置 | |
| US11139969B2 (en) | Centralized system for a hardware security module for access to encryption keys | |
| Anwarbasha et al. | An efficient and secure protocol for checking remote data integrity in multi-cloud environment | |
| CN115795514A (zh) | 一种隐私信息检索方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191206 |