recherche

Maison >développement back-end >tutoriel php >Comment puis-je implémenter un cryptage bidirectionnel simple en PHP à l'aide d'OpenSSL ?

Comment puis-je implémenter un cryptage bidirectionnel simple en PHP à l'aide d'OpenSSL ?

Barbara Streisand
Barbara Streisandoriginal
2024-12-13 04:49:13314parcourir

How Can I Implement Simple Two-Way Encryption in PHP Using OpenSSL?

Cryptage bidirectionnel le plus simple en PHP

Remarque importante :

Avant de continuer, il est crucial de souligner que cet article vise à fournir une compréhension simplifiée du cryptage non authentifié. Pour une protection robuste des données, envisagez toujours d'utiliser des bibliothèques de chiffrement authentifiées conformes aux normes de l'industrie ou bcrypt/argon2 pour le stockage des mots de passe.

Méthodes cryptographiques natives

Si vous utilisez PHP 5.4 ou version ultérieure, envisagez d'utiliser les fonctions openssl_* pour les opérations cryptographiques. Ceux-ci offrent des fonctionnalités de cryptage robustes avec une prise en charge native.

Cryptage et décryptage simples

Les fonctions openssl_encrypt() et openssl_decrypt() d'OpenSSL offrent un moyen accessible de crypter et de déchiffrer les données. L'algorithme de chiffrement recommandé est AES-CTR dans ses variantes 128, 192 ou 256 bits.

Attention : Évitez d'utiliser mcrypt en raison de sa dépréciation et des risques de sécurité potentiels.

Wrapper de cryptage/décryptage simple

Pour simplifier le processus de cryptage et de décryptage, vous pouvez utilisez la classe wrapper suivante :

class UnsafeCrypto
{
    // Encryption method (CTR mode)
    const METHOD = 'aes-256-ctr';

    /**
     * Encrypts data using the specified key.
     *
     * @param string $message Plaintext message
     * @param string $key Encryption key
     * @param bool $encode Whether to encode the result
     *
     * @return string Ciphertext
     */
    public static function encrypt($message, $key, $encode = false)
    {
        // Generate random IV
        $ivSize = openssl_cipher_iv_length(self::METHOD);
        $iv = openssl_random_pseudo_bytes($ivSize);

        // Encrypt using OpenSSL
        $ciphertext = openssl_encrypt($message, self::METHOD, $key, OPENSSL_RAW_DATA, $iv);

        // Concatenate IV and ciphertext
        if ($encode) {
            return base64_encode($iv . $ciphertext);
        }
        return $iv . $ciphertext;
    }

    /**
     * Decrypts data using the specified key.
     *
     * @param string $message Ciphertext
     * @param string $key Encryption key
     * @param bool $encoded Whether the message is encoded
     *
     * @return string Decrypted message
     */
    public static function decrypt($message, $key, $encoded = false)
    {
        if ($encoded) {
            $message = base64_decode($message, true);
            if ($message === false) {
                throw new Exception('Encryption failure');
            }
        }

        // Extract IV and ciphertext
        $ivSize = openssl_cipher_iv_length(self::METHOD);
        $iv = substr($message, 0, $ivSize);
        $ciphertext = substr($message, $ivSize);

        // Decrypt using OpenSSL
        $plaintext = openssl_decrypt($ciphertext, self::METHOD, $key, OPENSSL_RAW_DATA, $iv);

        return $plaintext;
    }
}

Chiffrement authentifié

L'approche ci-dessus fournit uniquement un cryptage, laissant les données vulnérables à la falsification. Pour résoudre ce problème, mettez en œuvre un système de chiffrement authentifié :

class SaferCrypto extends UnsafeCrypto
{
    // MAC algorithm
    const HASH_ALGO = 'sha256';

    /**
     * Encrypts and authenticates data using the specified key.
     *
     * @param string $message Plaintext message
     * @param string $key Encryption key
     * @param bool $encode Whether to encode the result
     *
     * @return string Encrypted and authenticated data
     */
    public static function encrypt($message, $key, $encode = false)
    {
        // Split key into encryption and authentication keys
        list($encKey, $authKey) = self::splitKeys($key);

        // Encrypt using UnsafeCrypto::encrypt
        $ciphertext = parent::encrypt($message, $encKey);

        // Calculate MAC
        $mac = hash_hmac(self::HASH_ALGO, $ciphertext, $authKey, true);

        // Concatenate MAC and ciphertext
        if ($encode) {
            return base64_encode($mac . $ciphertext);
        }
        return $mac . $ciphertext;
    }

    /**
     * Decrypts and authenticates data using the specified key.
     *
     * @param string $message Encrypted and authenticated data
     * @param string $key Encryption key
     * @param bool $encoded Whether the message is encoded
     *
     * @throws Exception
     *
     * @return string Decrypted message
     */
    public static function decrypt($message, $key, $encoded = false)
    {
        // Split key
        list($encKey, $authKey) = self::splitKeys($key);

        // Decode message if necessary
        if ($encoded) {
            $message = base64_decode($message, true);
            if ($message === false) {
                throw new Exception('Encryption failure');
            }
        }

        // Extract MAC and ciphertext
        $hs = strlen(hash(self::HASH_ALGO, '', true), '8bit');
        $mac = substr($message, 0, $hs);
        $ciphertext = substr($message, $hs);

        // Calculate expected MAC
        $expectedMac = hash_hmac(self::HASH_ALGO, $ciphertext, $authKey, true);

        // Verify MAC
        if (!self::hashEquals($mac, $expectedMac)) {
            throw new Exception('Encryption failure');
        }

        // Decrypt message using UnsafeCrypto::decrypt
        $plaintext = parent::decrypt($ciphertext, $encKey);

        return $plaintext;
    }

    /**
     * Splits a key into two separate keys for encryption and authentication.
     *
     * @param string $masterKey Master key
     *
     * @return string[] Array of encryption and authentication keys
     */
    protected static function splitKeys($masterKey)
    {
        return [
            hash_hmac(self::HASH_ALGO, 'ENCRYPTION', $masterKey, true),
            hash_hmac(self::HASH_ALGO, 'AUTHENTICATION', $masterKey, true)
        ];
    }

    /**
     * Compares two strings without leaking timing information
     * (PHP 7+).
     *
     * @param string $a
     * @param string $b
     *
     * @return bool
     */
    protected static function hashEquals($a, $b)
    {
        if (function_exists('hash_equals')) {
            return hash_equals($a, $b);
        }

        $nonce = openssl_random_pseudo_bytes(32);
        return hash_hmac(self::HASH_ALGO, $a, $nonce) === hash_hmac(self::HASH_ALGO, $b, $nonce);
    }
}

N'oubliez pas que pour une sécurité renforcée, envisagez d'utiliser des bibliothèques de chiffrement réputées.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

php for using class this
Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Article précédent:Comment puis-je vérifier en toute sécurité les origines des requêtes en PHP au-delà de HTTP_REFERER ?Article suivant:Comment puis-je vérifier en toute sécurité les origines des requêtes en PHP au-delà de HTTP_REFERER ?

Articles Liés

Voir plus