PHPを使用した最も単純な双方向暗号化


230

一般的なPHPインストールで双方向暗号化を行う最も簡単な方法は何ですか?

文字列キーでデータを暗号化し、同じキーを使用して反対側で復号化できるようにする必要があります。

セキュリティはコードの移植性ほど大きな問題ではないので、できる限りシンプルにしたいと思います。現在、RC4実装を使用していますが、ネイティブでサポートされているものが見つかれば、不要なコードを大幅に節約できると思います。



3
汎用の暗号化では、独自にロールするのではなく、defuse / php-encryption /を使用します。
Scott Arciszewski、2015年

2
github.com/defuse/php-encryptionから離れて-mcryptよりも桁違いに遅い。
Eugen Rieck、2015年

1
@Scott「これはおそらくボトルネックにはならないだろう」という考えに沿って考えることが、私たちに多くの悪いソフトウェアをもたらしました。
Eugen Rieck

3
大量のデータを実際に暗号化/復号化するのにかかる時間が数ミリ秒になるとアプリケーションがダウンします。弾丸をかじってlibsodiumに切り替えます。Sodium::crypto_secretbox()そしてSodium::crypto_secretbox_open()安全でパフォーマンスしています。
Scott Arciszewski、2015年

回答:


196

編集:

あなたは本当にopenssl_encrypt()openssl_decrypt()を使うべきです

スコットは言うそれが2007年以来更新されていないとして、のMcryptは良いアイデアではありません。

PHPからのMcryptを削除するRFCもあります- https://wiki.php.net/rfc/mcrypt-viking-funeral


6
@EugenRieckはい、それがポイントです。Mcryptはパッチを受け取りません。OpenSSLは、大小を問わず、脆弱性が発見されるとすぐにパッチを受け取ります。
グレッグ

5
そのような投票数の多い回答の場合は、回答に最も単純な例も記載されているとよいでしょう。とにかくありがとう。
T.Todua

みんな、FYI => MCRYPTは廃止予定です。キャッピングすることで、無数の問題が発生したので、誰も使用しないようにしてください。PHP 7.1以降、私が間違っていない場合は非推奨です。
clusterBuddy

PHP 7以降、mcrypt関数はphpコードベースから削除されました。そのため、phpの最新バージョン(標準である必要があります)を使用する場合、この非推奨の関数は使用できなくなります。
Alexander Behling

234

重要:あなたが持っている場合を除き、非常に特定のユースケースを、暗号化しないパスワードを行い、代わりにパスワードのハッシュアルゴリズムを使用します。サーバーサイドアプリケーションでパスワードを暗号化すると誰かが言うとき、彼らは知らされていないか、危険なシステム設計を説明しています。パスワードを安全に保存することは、暗号化とはまったく別の問題です。

知らされる。安全なシステムを設計します。

PHPでのポータブルデータ暗号化

PHP 5.4以降を使用していて、自分で暗号化モジュールを作成したくない場合は、認証された暗号化を提供する既存のライブラリを使用することをお勧めします。私がリンクしたライブラリは、PHPが提供するものにのみ依存しており、少数のセキュリティ研究者によって定期的にレビューされています。(私も含まれます。)

あなたの移植性の目標がPECL拡張機能の要求を妨げない場合、あなたや私がPHPで書くことができるものよりもlibsodium強くお勧めします。

アップデート(2016-06-12): PECL拡張機能をインストールしなくても、sodium_compatを使用して、同じ暗号libsodiumオファーを使用できるようになりました

暗号工学を試してみたい場合は、このまま読み進めてください。


まず、時間をかけて、認証されていない暗号化の危険性暗号の破滅の原則を学ぶ必要があります。

  • 暗号化されたデータは、悪意のあるユーザーによって改ざんされる可能性があります。
  • 暗号化されたデータを認証することで、改ざんを防ぎます。
  • 暗号化されていないデータを認証しても、改ざんを防ぐことはできません。

暗号化と復号化

PHPでの暗号化は実際には簡単です(これから使用openssl_encrypt()openssl_decrypt()、情報の暗号化方法についていくつかの決定を行っopenssl_get_cipher_methods()たら、システムでサポートされている方法のリストを参照してください。最良の選択はCTRモードのAESです

  • aes-128-ctr
  • aes-192-ctr
  • aes-256-ctr

現在、AESキーサイズが心配すべき重要な問題であると信じる理由はありません(256ビットモードでのキースケジューリングが不適切なため、これより大きくすることはおそらくあまり好ましくありませ)。

注:放棄されたものであり、セキュリティに影響を与える可能性のあるパッチされていないバグがあるため、使用していませんmcrypt。これらの理由により、他のPHP開発者にも回避することをお勧めします。

OpenSSLを使用した単純な暗号化/復号化ラッパー

class UnsafeCrypto
{
    const METHOD = 'aes-256-ctr';

    /**
     * Encrypts (but does not authenticate) a message
     * 
     * @param string $message - plaintext message
     * @param string $key - encryption key (raw binary expected)
     * @param boolean $encode - set to TRUE to return a base64-encoded 
     * @return string (raw binary)
     */
    public static function encrypt($message, $key, $encode = false)
    {
        $nonceSize = openssl_cipher_iv_length(self::METHOD);
        $nonce = openssl_random_pseudo_bytes($nonceSize);

        $ciphertext = openssl_encrypt(
            $message,
            self::METHOD,
            $key,
            OPENSSL_RAW_DATA,
            $nonce
        );

        // Now let's pack the IV and the ciphertext together
        // Naively, we can just concatenate
        if ($encode) {
            return base64_encode($nonce.$ciphertext);
        }
        return $nonce.$ciphertext;
    }

    /**
     * Decrypts (but does not verify) a message
     * 
     * @param string $message - ciphertext message
     * @param string $key - encryption key (raw binary expected)
     * @param boolean $encoded - are we expecting an encoded string?
     * @return string
     */
    public static function decrypt($message, $key, $encoded = false)
    {
        if ($encoded) {
            $message = base64_decode($message, true);
            if ($message === false) {
                throw new Exception('Encryption failure');
            }
        }

        $nonceSize = openssl_cipher_iv_length(self::METHOD);
        $nonce = mb_substr($message, 0, $nonceSize, '8bit');
        $ciphertext = mb_substr($message, $nonceSize, null, '8bit');

        $plaintext = openssl_decrypt(
            $ciphertext,
            self::METHOD,
            $key,
            OPENSSL_RAW_DATA,
            $nonce
        );

        return $plaintext;
    }
}

使用例

$message = 'Ready your ammunition; we attack at dawn.';
$key = hex2bin('000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f');

$encrypted = UnsafeCrypto::encrypt($message, $key);
$decrypted = UnsafeCrypto::decrypt($encrypted, $key);

var_dump($encrypted, $decrypted);

デモhttps : //3v4l.org/jl7qR


上記の単純な暗号ライブラリはまだ安全に使用できません。暗号文認証し、復号する前に検証する必要があります。

:デフォルトでUnsafeCrypto::encrypt()は、生のバイナリ文字列を返します。バイナリセーフ形式(base64エンコード)で保存する必要がある場合は、次のように呼び出します。

$message = 'Ready your ammunition; we attack at dawn.';
$key = hex2bin('000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f');

$encrypted = UnsafeCrypto::encrypt($message, $key, true);
$decrypted = UnsafeCrypto::decrypt($encrypted, $key, true);

var_dump($encrypted, $decrypted);

デモhttp : //3v4l.org/f5K93

単純な認証ラッパー

class SaferCrypto extends UnsafeCrypto
{
    const HASH_ALGO = 'sha256';

    /**
     * Encrypts then MACs a message
     * 
     * @param string $message - plaintext message
     * @param string $key - encryption key (raw binary expected)
     * @param boolean $encode - set to TRUE to return a base64-encoded string
     * @return string (raw binary)
     */
    public static function encrypt($message, $key, $encode = false)
    {
        list($encKey, $authKey) = self::splitKeys($key);

        // Pass to UnsafeCrypto::encrypt
        $ciphertext = parent::encrypt($message, $encKey);

        // Calculate a MAC of the IV and ciphertext
        $mac = hash_hmac(self::HASH_ALGO, $ciphertext, $authKey, true);

        if ($encode) {
            return base64_encode($mac.$ciphertext);
        }
        // Prepend MAC to the ciphertext and return to caller
        return $mac.$ciphertext;
    }

    /**
     * Decrypts a message (after verifying integrity)
     * 
     * @param string $message - ciphertext message
     * @param string $key - encryption key (raw binary expected)
     * @param boolean $encoded - are we expecting an encoded string?
     * @return string (raw binary)
     */
    public static function decrypt($message, $key, $encoded = false)
    {
        list($encKey, $authKey) = self::splitKeys($key);
        if ($encoded) {
            $message = base64_decode($message, true);
            if ($message === false) {
                throw new Exception('Encryption failure');
            }
        }

        // Hash Size -- in case HASH_ALGO is changed
        $hs = mb_strlen(hash(self::HASH_ALGO, '', true), '8bit');
        $mac = mb_substr($message, 0, $hs, '8bit');

        $ciphertext = mb_substr($message, $hs, null, '8bit');

        $calculated = hash_hmac(
            self::HASH_ALGO,
            $ciphertext,
            $authKey,
            true
        );

        if (!self::hashEquals($mac, $calculated)) {
            throw new Exception('Encryption failure');
        }

        // Pass to UnsafeCrypto::decrypt
        $plaintext = parent::decrypt($ciphertext, $encKey);

        return $plaintext;
    }

    /**
     * Splits a key into two separate keys; one for encryption
     * and the other for authenticaiton
     * 
     * @param string $masterKey (raw binary)
     * @return array (two raw binary strings)
     */
    protected static function splitKeys($masterKey)
    {
        // You really want to implement HKDF here instead!
        return [
            hash_hmac(self::HASH_ALGO, 'ENCRYPTION', $masterKey, true),
            hash_hmac(self::HASH_ALGO, 'AUTHENTICATION', $masterKey, true)
        ];
    }

    /**
     * Compare two strings without leaking timing information
     * 
     * @param string $a
     * @param string $b
     * @ref https://paragonie.com/b/WS1DLx6BnpsdaVQW
     * @return boolean
     */
    protected static function hashEquals($a, $b)
    {
        if (function_exists('hash_equals')) {
            return hash_equals($a, $b);
        }
        $nonce = openssl_random_pseudo_bytes(32);
        return hash_hmac(self::HASH_ALGO, $a, $nonce) === hash_hmac(self::HASH_ALGO, $b, $nonce);
    }
}

使用例

$message = 'Ready your ammunition; we attack at dawn.';
$key = hex2bin('000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f');

$encrypted = SaferCrypto::encrypt($message, $key);
$decrypted = SaferCrypto::decrypt($encrypted, $key);

var_dump($encrypted, $decrypted);

デモrawバイナリbase64エンコード


このSaferCryptoライブラリを本番環境で使用したい場合、または同じ概念を独自に実装したい場合は、常駐の暗号技術者にセカンドオピニオンを求める前に連絡することを強くお勧めします。彼らは私が気づいていないかもしれない間違いについてあなたに伝えることができるでしょう。

評判の良い暗号ライブラリを使用する方がはるかによいでしょう。


3
したがって、私はUnsafeCryptoを最初に機能させようとしています。暗号化は問題なく実行されますが、復号化を実行するたびに、応答として「false」が返されます。私は同じキーを使用して復号化し、エンコードとデコードにtrueを渡します。そこに、私が例でタイプタイプであると想定している、それが私の問題がどこから来ているのか疑問に思っています。$ mac変数の出所を説明できますか?単純に$ ivにする必要がありますか?
デビッドC

1
@EugenRieck OpenSSL暗号の実装は、たまらない唯一の部分であり、それがバニラPHPでAES-NIを活用する唯一の方法です。OpenBSDにインストールすると、PHPはLibreSSLに対してコンパイルされ、PHPコードは違いに気づきません。Libsodium> OpenSSLいつでも。また、libmcryptは使用しないでくださいPHP開発者がOpenSSLの代わりに使用することをお勧めしますか?
Scott Arciszewski、2015

2
5.2も5.3もサポートされなくなりました。代わりに、5.6などのサポートされているバージョンのPHPへの更新を検討する必要があります。
Scott Arciszewski、2015


1
はあなたのキーに、人間が読める文字列ではなく、バイナリ文字列が必要であることを示すためにそれをやっただけです。
Scott Arciszewski

22

mcrypt_encrypt()およびmcrypt_decrypt()対応するパラメータを使用します。本当に簡単でわかりやすく、戦いでテストされた暗号化パッケージを使用します。

編集

この回答から5年4か月後、mcrypt拡張機能は非推奨になり、最終的にPHPから削除されます。


34
戦闘テスト済みで、8年以上更新されていませんか?
Maarten Bodewes 2014年

2
まあ、mcryptはPHP7にあり、非推奨ではありません。これで十分です。すべてのコードがOpenSSLの恐ろしい品質であるわけではなく、数日ごとにパッチを適用する必要があります。
Eugen Rieck 2016年

3
mcryptはサポートに関してひどいものではありません。また、PKCS#7準拠のパディング、認証された暗号化などのベストプラクティスも実装していません。SHA-3やその他の新しいアルゴリズムは、誰も維持しておらず、アップグレードパスを奪われているため、サポートされません。さらに、それは部分的なキーのようなものを受け入れるために使用されました。
Maarten Bodewes 2016年

2
PHP 7.1では、すべてのmcrypt_ *関数がE_DEPRECATED通知を発生させます。PHP 7.1 + 1(7.2または8.0)では、mcrypt拡張機能はコアからPECLに移動されます。PECL からPHP拡張機能をインストールできる場合、本当にインストールしたい人は、そうすることができます。
Mladen Janjetovic 2016年

4

PHP 7.2は完全に廃止されMcrypt、暗号化はメンテナンス可能なLibsodiumライブラリに基づいています。

すべての暗号化のニーズは、基本的にLibsodiumライブラリを通じて解決できます。

// On Alice's computer:
$msg = 'This comes from Alice.';
$signed_msg = sodium_crypto_sign($msg, $secret_sign_key);


// On Bob's computer:
$original_msg = sodium_crypto_sign_open($signed_msg, $alice_sign_publickey);
if ($original_msg === false) {
    throw new Exception('Invalid signature');
} else {
    echo $original_msg; // Displays "This comes from Alice."
}

Libsodiumのドキュメント:https : //github.com/paragonie/pecl-libsodium-doc


2
コードを貼り付ける場合は、すべての変数がカバーされていることを確認してください。あなたの例では$ secret_sign_keyと$ alice_sign_publickeyはNULL
undefinedman

1
crypto_signAPIはありませんではないの1が必要になります-暗号化メッセージcrypto_aead_*_encrypt機能を。
Roger Dueck

1

重要この回答は、PHP 5でのみ有効です。PHP7では、組み込みの暗号化関数を使用します。

これはシンプルですが十分に安全な実装です:

  • CBCモードでのAES-256暗号化
  • プレーンテキストのパスワードから暗号化キーを作成するPBKDF2
  • 暗号化されたメッセージを認証するHMAC。

コードと例はこちら:https : //stackoverflow.com/a/19445173/1387163


1
私は暗号の専門家ではありませんが、パスワードから直接導出されたキーを持つことは恐ろしい考えのようです。レインボーテーブル+脆弱なパスワードを使用すると、セキュリティが失われます。また、あなたのリンクは、PHP 7.1以降廃止されたmcrypt関数をポイントしています
Alph.Dev

@ Alph.Dev正解上記の答えはPHP 5にのみ有効です
Eugene Fidelin
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.