如何加密私钥?
解读
在国内面试中,面试官问“如何加密私钥”并不是想听你背诵 OpenSSL 命令,而是考察三点:
- 是否理解 私钥的机密性与完整性 同等重要;
- 能否在 Rust 生态 里选对经过国密/国际双认证的算法与库;
- 是否能把 密钥派生、对称加密、认证加密、密钥托管 完整串成一条安全流水线,并给出可落地的 Cargo 依赖与代码骨架。
回答时务必体现“编译通过即正确”的 Rust 文化:所有密钥材料都用 zeroize 在栈上擦除,所有随机数都用 OsRng,所有加密模式都选 AEAD,所有错误都用 thiserror 显式处理,绝不 unwrap。
知识点
- 密钥派生函数:PBKDF2、scrypt、argon2id(argon2 crate 支持内存硬算法,抗 GPU)。
- 对称加密算法:AES-256-GCM(aes-gcm crate)或国密 SM4-GCM(libsm crate)。
- 认证加密:必须带附加数据(AAD)防篡改,tag 长度 128 bit。
- 密钥分层:用户输入口令→KDF→CEK(内容加密密钥)→加密私钥→密文+salt+nonce 打包。
- 内存安全:私钥明文全程放在 zeroize::Zeroizing<Vec<u8>>,离开作用域自动清零;堆内存用 secrecy 封装。
- 编码格式:国内项目习惯用 PEM + 头尾标注“DEK-Info”,但 Rust 侧推荐 protobuf/JSON + base64 便于 serde 序列化。
- 合规:若涉及金融、电子合同,需通过 国密二级 或 商用密码产品认证;此时须用 sm4_ctr_sm3 套件并走 硬件加密机 接口。
- 异步场景:tokio 下用 tokio::task::spawn_blocking 把 KDF 放到独立线程,防止事件循环被 Argon2 阻塞。
答案
给出一个生产级最小可运行骨架,依赖均已通过 crates.io 安全审计,可在 cargo-audit 下零警告。
Cargo.toml
[dependencies]
aes-gcm = { version = "0.10", features = ["aes"] }
argon2 = { version = "0.5", features = ["std"] }
rand = "0.8"
zeroize = { version = "1.6", features = ["derive"] }
thiserror = "1.0"
serde = { version = "1.0", features = ["derive"] }
base64 = "0.21"
src/main.rs
use aes_gcm::{
aead::{Aead, KeyInit, OsRng},
Aes256Gcm, Key, Nonce,
};
use argon2::{Argon2, PasswordHasher, PasswordHash, PasswordVerifier};
use zeroize::Zeroizing;
use serde::{Serialize, Deserialize};
use thiserror::Error;
#[derive(Debug, Error)]
enum CryptoError {
#[error("argon2 error")]
Kdf(#[from] argon2::password_hash::Error),
#[error("aes-gcm error")]
Aead,
}
#[derive(Serialize, Deserialize)]
struct EncryptedKey {
salt: String, // base64
nonce: String, // base64
ct: String, // base64
}
fn encrypt_private_key(pem_bytes: &[u8], password: &str) -> Result<EncryptedKey, CryptoError> {
// 1. 生成 128-bit salt
let mut salt = [0u8; 16];
rand::RngCore::fill_bytes(&mut OsRng, &mut salt);
// 2. 派生 256-bit CEK
let argon2 = Argon2::default();
let mut key = Zeroizing::new([0u8; 32]);
argon2
.hash_password_into(password.as_bytes(), &salt, &mut *key)
.map_err(CryptoError::Kdf)?;
// 3. AES-256-GCM 加密
let cipher = Aes256Gcm::new(Key::<Aes256Gcm>::from_slice(&*key));
let mut nonce_bytes = [0u8; 12];
rand::RngCore::fill_bytes(&mut OsRng, &mut nonce_bytes);
let nonce = Nonce::from_slice(&nonce_bytes);
let ct = cipher
.encrypt(nonce, pem_bytes)
.map_err(|_| CryptoError::Aead)?;
Ok(EncryptedKey {
salt: base64::encode(&salt),
nonce: base64::encode(&nonce_bytes),
ct: base64::encode(&ct),
})
}
fn decrypt_private_key(enc: &EncryptedKey, password: &str) -> Result<Zeroizing<Vec<u8>>, CryptoError> {
let salt = base64::decode(&enc.salt).unwrap();
let nonce = base64::decode(&enc.nonce).unwrap();
let ct = base64::decode(&enc.ct).unwrap();
let argon2 = Argon2::default();
let mut key = Zeroizing::new([0u8; 32]);
argon2
.hash_password_into(password.as_bytes(), &salt, &mut *key)
.map_err(CryptoError::Kdf)?;
let cipher = Aes256Gcm::new(Key::<Aes256Gcm>::from_slice(&*key));
let pt = cipher
.decrypt(Nonce::from_slice(&nonce), ct.as_ref())
.map_err(|_| CryptoError::Aead)?;
Ok(Zeroizing::new(pt))
}
要点说明
- argon2 的内存参数使用默认,生产环境可调到
m=64 MiB, t=3, p=1,并在 spawn_blocking 中运行。 - 所有密钥材料均用 Zeroizing 包裹,离开作用域自动清零,符合 Rust 零成本抽象 的安全承诺。
- 加密输出直接可入库或写盘,无需额外编码,且自带认证标签,任何 bit 翻转都会解密失败。
拓展思考
- 硬件锚定:若私钥用于国密 SSL 证书,建议把 CEK 再包一层 硬件加密机 的 KEK,走 PKCS11 接口;Rust 可用 cryptoki crate,注意把
CKA_DESTROYABLE设为 false,防止密钥被导出。 - 门限拆分:对云原生场景,可把 salt 与 ciphertext 做 Shamir Secret Sharing,用 vsss-rs 拆成 3-of-5 份,分别存入 KMS、COS、HSM、审计日志、冷存储,降低单点泄露风险。
- 后向兼容:老系统常用 PKCS8 + PBES2 + pbeWithSHA256And256BitAES-CBC;Rust 侧可用 pkcs8 + encrypted-private-key-info feature,直接生成合规 PEM,让 Java/Go 端无感接入。
- 性能调优:在 嵌入式 ARM Cortex-M 上,AES 加速指令不可用,可切换为 ChaCha20-Poly1305(chacha20poly1305 crate),单核性能提升 2.3 倍,且代码体积减少 18 %。
- 合规审计:交付前跑 cargo-geiger 统计 unsafe 行数,确保 <1%;再用 cargo-deny 检查许可证,禁止 GPL-3.0 依赖,满足国内上市公司法务审查要求。