MQTT プロトコル用の PHP エンドツーエンド暗号化ソリューションの比較とセキュリティに関する考慮事項

MQTT プロトコルは、モノのインターネットやインスタント メッセージングなどの分野で広く使用されている軽量のパブリッシュ/サブスクライブ メッセージ送信プロトコルです。 MQTT プロトコルの通信プロセスでは、データのセキュリティが特に重要です。データの機密性と完全性を保護するために、エンドツーエンドの暗号化スキームを使用して MQTT プロトコルのセキュリティを強化できます。この記事では、いくつかの一般的な PHP エンドツーエンド暗号化ソリューションを比較し、セキュリティを考慮したソリューションを紹介します。

1. 対称暗号化方式

対称暗号化方式は、最も一般的で簡単な暗号化方式であり、データの暗号化と復号化に同じキーを使用します。 MQTT プロトコルでは、対称暗号化アルゴリズムを使用してメッセージを暗号化し、加入者に送信できます。同じキーを使用してメッセージを復号化します。以下は、対称暗号化に AES アルゴリズムを使用する PHP コードの例です。

function encryptMessage($message, $key) {
    $ivSize = openssl_cipher_iv_length('AES-256-CBC');
    $iv = openssl_random_pseudo_bytes($ivSize);
    $encrypted = openssl_encrypt($message, 'AES-256-CBC', $key, OPENSSL_RAW_DATA, $iv);
    $finalMessage = $iv . $encrypted;
    return $finalMessage;
}

function decryptMessage($message, $key) {
    $ivSize = openssl_cipher_iv_length('AES-256-CBC');
    $iv = substr($message, 0, $ivSize);
    $encrypted = substr($message, $ivSize);
    $decrypted = openssl_decrypt($encrypted, 'AES-256-CBC', $key, OPENSSL_RAW_DATA, $iv);
    return $decrypted;
}

上記のコードでは、$message は暗号化または復号化されるメッセージであり、 $key は対称暗号化に使用されるキーです。暗号化には openssl_encrypt 関数を使用し、復号化には openssl_decrypt 関数を使用します。暗号化プロセス中に、ランダムな初期ベクトル (IV) を生成する必要があり、IV と暗号化されたメッセージが最終的な暗号化されたメッセージとして結合されます。

ただし、対称暗号化方式ではキー配布の問題を解決できません。送信中にキーが盗まれたり改ざんされたりする可能性があるため、キーを加入者に安全に送信する方法は課題です。したがって、対称暗号化方式は、MQTT プロトコルのエンドツーエンド暗号化には適していません。

2. 非対称暗号化スキーム

非対称暗号化スキームは、公開キーと秘密キーという 1 組のキーを使用します。送信者は公開キーを使用してメッセージを暗号化し、受信者は秘密キーを使用してメッセージを復号化します。 MQTT プロトコルでは、非対称暗号化アルゴリズムを使用してメッセージを暗号化し、安全なチャネル (TLS/SSL など) を通じて受信者に公開キーを送信できます。以下は、非対称暗号化に RSA アルゴリズムを使用する PHP コードの例です。

function encryptMessage($message, $publicKey) {
    openssl_public_encrypt($message, $encrypted, $publicKey);
    return base64_encode($encrypted);
}

function decryptMessage($encryptedMessage, $privateKey) {
    openssl_private_decrypt(base64_decode($encryptedMessage), $decrypted, $privateKey);
    return $decrypted;
}

上記のコードでは、$message は暗号化されるメッセージであり、$publicKey は受信した当事者の公開キー、$privateKey は受信者の秘密キーです。 openssl_public_encrypt 関数を使用してメッセージを暗号化し、openssl_private_decrypt 関数を使用して暗号化されたメッセージを復号化します。

非対称暗号化スキームはキー配布の問題を解決できますが、速度が遅く、リアルタイム通信シナリオで大量のデータを頻繁に暗号化および復号化するのには適していません。

3. セキュリティを総合的に考慮したソリューション

セキュリティとパフォーマンスを総合的に考慮するために、ハイブリッド暗号化ソリューションを使用できます。このソリューションでは、非対称暗号化アルゴリズムを使用してキー配布問題を解決し、次に対称暗号化アルゴリズムを使用してメッセージを暗号化します。具体的な実装は次のとおりです。

1. 送信者と受信者は、公開鍵と秘密鍵のペアを生成します。
2. 送信者は受信者の公開キーを使用して対称暗号化アルゴリズムのキーを暗号化し、暗号化されたキーを受信者に送信します。
3. 受信者は秘密キーを使用して受信したキーを復号し、そのキーを使用してメッセージを復号します。

以下は、セキュリティを総合的に考慮した PHP コードの例です。

function generateKeyPair() {
    $config = array(
        "digest_alg" => "sha256",
        "private_key_bits" => 2048,
        "private_key_type" => OPENSSL_KEYTYPE_RSA,
    );
    $res = openssl_pkey_new($config);
    openssl_pkey_export($res, $privateKey);
    $publicKey = openssl_pkey_get_details($res);
    $publicKey = $publicKey["key"];
    return array("publicKey" => $publicKey, "privateKey" => $privateKey);
}

function encryptMessage($message, $publicKey) {
    // Generate a random AES key
    $aesKey = openssl_random_pseudo_bytes(32);
    
    // Encrypt the AES key with recipient's public key
    openssl_public_encrypt($aesKey, $encryptedKey, $publicKey);
    
    // Encrypt the message with AES key
    $iv = openssl_random_pseudo_bytes(16);
    $encryptedMessage = openssl_encrypt($message, 'AES-256-CBC', $aesKey, OPENSSL_RAW_DATA, $iv);
    
    // Combine IV, encrypted key and encrypted message
    $finalMessage = $iv . $encryptedKey . $encryptedMessage;
    
    return $finalMessage;
}

function decryptMessage($message, $privateKey) {
    $ivSize = 16;
    $keySize = 256;
    
    // Extract IV, encrypted key and encrypted message
    $iv = substr($message, 0, $ivSize);
    $encryptedKey = substr($message, $ivSize, $keySize / 8);
    $encryptedMessage = substr($message, $ivSize + $keySize / 8);
    
    // Decrypt the AES key with private key
    openssl_private_decrypt($encryptedKey, $aesKey, $privateKey);
    
    // Decrypt the message with AES key
    $decryptedMessage = openssl_decrypt($encryptedMessage, 'AES-256-CBC', $aesKey, OPENSSL_RAW_DATA, $iv);
    
    return $decryptedMessage;
}

上記のコードでは、generateKeyPair 関数を使用して公開鍵を生成しています。と秘密キーのペア。 encryptMessage 関数はメッセージの暗号化に使用され、decryptMessage 関数はメッセージの復号化に使用されます。このうち、RSA アルゴリズムは AES キーの暗号化と復号化に使用され、AES アルゴリズムはメッセージの暗号化と復号化に使用されます。

セキュリティを総合的に考慮したソリューションは、鍵配布の問題を解決するだけでなく、暗号化の効率性や復号速度も確保しており、MQTTプロトコルにおけるエンドツーエンドの暗号化保護の実現に適しています。

概要:

この記事では、対称暗号化スキーム、非対称暗号化スキーム、包括的なセキュリティを考慮したソリューションなど、いくつかの一般的な PHP エンドツーエンド暗号化スキームを比較します。 MQTT プロトコルでは、データのセキュリティを保護するために、非対称暗号アルゴリズムを使用して鍵配布問題を解決し、対称暗号アルゴリズムを使用して暗号化するという、セキュリティを総合的に考慮したソリューションを使用することが推奨されています。メッセージ。暗号化アルゴリズムを合理的に選択し、セキュリティのベスト プラクティスに従うことで、MQTT プロトコル通信中のデータ セキュリティを効果的に保護できます。

以上がMQTT プロトコル用の PHP エンドツーエンド暗号化ソリューションの比較とセキュリティに関する考慮事項の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。