密碼學俱樂部的第一條規則是：永遠不要自己發明密碼系統。

密碼學俱樂部的第二條規則是：永遠不要自己實現密碼系統：在現實世界中，在實現以及設計密碼系統階段都找到過許多漏洞。

Python 中的一個有用的基本加密庫就叫做 cryptography 。

它既是一個“安全”方面的基礎庫，也是一個“危險”層。

“危險”層需要更加小心和相關的知識，并且使用它很容易出現安全漏洞。

在這篇介紹性文章中，我們不會涵蓋“危險”層中的任何內容!cryptography 庫中最有用的高級安全功能是一種 Fernet 實現。

Fernet 是一種遵循最佳實踐的加密緩沖區的標準。

它不適用于非常大的文件，如千兆字節以上的文件，因為它要求你一次加載要加密或解密的內容到內存緩沖區中。

Fernet 支持 對稱(symmetric)(即 密鑰(secret key))加密方式*：加密和解密使用相同的密鑰，因此必須保持安全。

生成密鑰很簡單：>>>k=fernet.Fernet.generate_key()>>>type(k)<class'bytes'>這些字節可以寫入有適當權限的文件，最好是在安全的機器上。

有了密鑰后，加密也很容易：>>>frn=fernet.Fernet(k)>>>encrypted=frn.encrypt(b"xmarksthespot")>>>encrypted[:10]b'gAAAAABb1'如果在你的機器上加密，你會看到略微不同的值。

不僅因為(我希望)你生成了和我不同的密鑰，而且因為 Fernet 將要加密的值與一些隨機生成的緩沖區連接起來。

這是我之前提到的“最佳實踐”之一：它將阻止對手分辨哪些加密值是相同的，這有時是攻擊的重要部分。

解密同樣簡單：>>>frn=fernet.Fernet(k)>>>frn.decrypt(encrypted)b'xmarksthespot'請注意，這僅加密和解密字節串。

為了加密和解密文本串，通常需要對它們使用 UTF-8 進行編碼和解碼。

20 世紀中期密碼學最有趣的進展之一是 公鑰(pubpc key)加密。

它可以在發布加密密鑰的同時而讓解密密鑰保持保密。

例如，它可用于保存服務器使用的 API 密鑰：服務器是唯一可以訪問解密密鑰的一方，但是任何人都可以保存公共加密密鑰。

雖然 cryptography 沒有任何支持公鑰加密的安全功能，但 PyNaCl 庫有。

PyNaCl 封裝并提供了一些很好的方法來使用 Daniel J. Bernstein 發明的 NaCl 加密系統。

NaCl 始終同時 加密(encrypt)和 簽名(sign)或者同時 解密(decrypt)和 驗證簽名(verify signature)。

這是一種防止 基于可伸縮性(malleabipty-based)的攻擊的方法，其中攻擊者會修改加密值。

加密是使用公鑰完成的，而簽名是使用密鑰完成的：>>>fromnacl.pubpcimportPrivateKey,PubpcKey,Box>>>source=PrivateKey.generate()>>>withopen("target.pubkey","rb")asfpin:...target_pubpc_key=PubpcKey(fpin.read())>>>enc_box=Box(source,target_pubpc_key)>>>result=enc_box.encrypt(b"xmarksthespot")>>>result[:4]b'\xe2\x1c0\xa4'解密顛倒了角色：它需要私鑰進行解密，需要公鑰驗證簽名：>>>fromnacl.pubpcimportPrivateKey,PubpcKey,Box>>>withopen("source.pubkey","rb")asfpin:...source_pubpc_key=PubpcKey(fpin.read())>>>withopen("target.private_key","rb")asfpin:...target=PrivateKey(fpin.read())>>>dec_box=Box(target,source_pubpc_key)>>>dec_box.decrypt(result)b'xmarksthespot'最后， PocketProtector 庫構建在 PyNaCl 之上，包含完整的密鑰管理方案。