그럼 해시형 암호화와 다른 점이 있나요? 해시 유형 암호화는 되돌릴 수 없는 단방향 암호화입니다. 암호화된 콘텐츠는 16진수 해시 문자열이므로 솔트 값이나 여러 세트의 2계층 암호화를 추가하는 한 레인보우 테이블만 사용할 수 있습니다. 이를 리버스 엔지니어링하는 것은 매우 어렵습니다. 따라서 사용자 비밀번호를 저장하기 위해 일반적으로 해시 암호화를 사용합니다. 데이터베이스가 사용자 비밀번호를 유출하더라도 여전히 안전합니다. 대칭/비대칭 암호화의 일종인 OpenSSL은 특정 키워드나 인증서를 통해 순방향 암호화와 역방향 복호화를 수행할 수 있습니다. 원본 텍스트
를 사용할 수 있습니다. 이제 대칭 및 비대칭 암호화 문제에 대해 자세히 이야기하겠습니다.
대칭 암호화와 비대칭 암호화란 무엇인가요?
대칭 암호화는 일반적으로 키를 통해 원본 텍스트를 암호화합니다. 즉, 서버이든 클라이언트이든 다른 피어이든 두 끝이 통신할 때 그들이 전송하는 암호화된 콘텐츠는 암호화/암호 해독 작업에 동일한 키를 사용해야 합니다. 양쪽 끝은 동시에 이러한 키를 저장해야 합니다. 다들 한 번쯤은 생각해 보셨을 텐데요. 이제 웹 개발이든 앱 개발이든 코드를 디컴파일하여 소스 코드를 볼 수 있게 되었습니다. 대칭 암호화를 사용하면 키를 쉽게 얻을 수 있습니다. 그러나 대칭 암호화의 장점은 속도가 매우 빠르고 리소스를 소모하지 않는다는 것입니다.
비대칭 암호화는 양쪽 끝에 서로 다른 키를 보유합니다. 우리가 볼 수 있는 가장 일반적인 https 인증서와 마찬가지로 공개 키와 개인 키라는 두 가지 개념이 있습니다. 일반적으로 공개키는 암호화에 사용하고, 개인키는 복호화에 사용하며, 일반적으로 공개키는 공개하여 상대방에게 전송하고, 개인키는 여기에 보관합니다. 즉, 상대방이 우리에게 데이터를 보낼 때 우리가 제공한 공개 키를 사용하여 데이터를 암호화합니다. 그 전까지는 누구도 데이터를 해독할 수 있는 개인 키를 갖고 있지 않기 때문에 데이터는 전송 과정에서 매우 안전합니다. 데이터를 받은 후, 귀하는 자신의 개인 키를 사용하여 이를 해독하고 원본 데이터를 얻습니다. 양쪽의 키 내용이 동일하지 않기 때문에 비대칭 암호화가 대칭 암호화보다 훨씬 더 안전합니다. 비대칭 암호화의 알고리즘과 복잡성은 대칭 암호화의 장점에 비해 몇 단계 높지만, 특히 데이터 양이 많은 경우 비대칭 암호화에서는 속도와 성능이 병목 현상이 됩니다. 또한, 비대칭 암호화의 수학적 원리는 큰 숫자를 분해하기 어렵다는 것입니다. 즉, 숫자가 클수록 인수분해가 더 어렵다는 것입니다. 알고리즘이 이 문제를 짧은 시간에 해결할 수 있다면 축하드립니다. 그것은 현대 암호화 알고리즘의 기초입니다. 당신이 한계를 깨뜨렸습니다.
대칭 암호화에 일반적으로 사용되는 알고리즘에는 AES, DES, 3DES, IDEA, RC2, RC5 등이 있습니다. 더 일반적으로 사용되는 알고리즘은 AES 및 DES입니다.
비대칭 암호화에 일반적으로 사용되는 알고리즘에는 RSA, Elgamal, ECC 등이 있습니다. RSA는 매우 일반적으로 사용되며 SSL이며 일부 인증서 알고리즘은 RSA를 기반으로 합니다.
시스템 보안을 위해 어떻게 해야 할까요?
그렇다면 이 두 가지 암호화 기능을 사용하기 위한 절충안이 있나요? 물론 그렇습니다. 이는 매우 고전적인 기술이기도 합니다. 바로 디지털 봉투입니다.
사실 의미는 매우 간단합니다. 이는 이 두 가지 암호화 방법의 각각의 장점을 활용한다는 것입니다. 비대칭 암호화는 보안성이 높지만 속도가 느리고, 데이터 양이 많을수록 속도가 느려집니다. 그런 다음 대칭 암호화의 키를 암호화하는 데 사용합니다. 일반적으로 이 키는 그다지 크지 않습니다. 그런 다음 실제 데이터 개체는 이 대칭 암호화 키를 사용하여 대칭 암호화를 수행하여 속도를 향상시킵니다. 이런 방식으로 클라이언트에 보낼 때 두 개의 콘텐츠가 포함됩니다. 하나는 비대칭 암호화를 사용하여 암호화된 키이고 다른 하나는 대칭 암호화를 사용하여 암호화된 데이터 콘텐츠입니다. 클라이언트는 정보를 얻은 후 먼저 비대칭 암호화 키를 사용하여 대칭 암호화 키를 디코딩한 다음 이 키를 사용하여 최종 데이터 콘텐츠를 해독합니다. 혼란스러워요? 사진을 통해 살펴보시면 아마 다들 한 눈에 이해하실 겁니다.
그 중 공개키와 개인키는 따로 설명할 필요가 없습니다. 세션 키는 대칭 암호화 알고리즘의 키입니다. 위의 디지털 봉투 전송 프로세스 설명과 결합하면 모든 사람이 이해할 수 있어야 합니다.
OpenSSL 확장 대칭 암호화
자, 많은 이론적 지식을 소개한 후 PHP에서 대칭 및 비대칭 암호화를 어떻게 구현하는지 주제로 돌아가 보겠습니다. 매우 간단합니다. OpenSSL 확장을 사용하면 됩니다. 이 확장은 PHP 소스 코드와 함께 릴리스되었습니다. 컴파일하고 설치할 때 --with-openssl을 추가하면 됩니다. 물론, 시스템 환경에 OpenSSL 소프트웨어가 설치되어 있어야 합니다. 기본적으로 다양한 운영 체제에서 사용할 수 있지만 그렇지 않은 경우 직접 설치하면 됩니다. 가장 간단한 방법은 현재 시스템에 OpenSSL 관련 소프트웨어가 설치되어 있는지 확인하기 위해 운영 체제 명령줄에 openssl 명령이 있는지 확인하는 것입니다.
[root@localhost ~]# openssl version OpenSSL 1.1.1 FIPS 11 Sep 2018
오늘은 대칭암호와 관련된 비교적 간단한 기능들을 주로 공부합니다.
대칭 암호화/복호화 구현
$data = '测试对称加密'; $key = '加密用的key'; $algorithm = 'DES-EDE-CFB'; $ivlen = openssl_cipher_iv_length($algorithm); $iv = openssl_random_pseudo_bytes($ivlen); $password = openssl_encrypt($data, $algorithm, $key, 0, $iv); echo $password, PHP_EOL; // 4PvOc75QkIJ184/RULdOTeO8 echo openssl_decrypt($password, $algorithm, $key, 0, $iv), PHP_EOL; // 测试对称加密 // Warning: openssl_encrypt(): Using an empty Initialization Vector (iv) is potentially insecure and not recommended
openssl_encrypt()는 데이터를 암호화하는 데 사용됩니다. 원본 텍스트, 알고리즘 및 키의 세 가지 매개변수가 필요하지만, 이제 iv(벡터) 매개변수를 직접 정의하는 것이 좋습니다. 따라서 iv 매개변수가 없으면 경고 메시지가 보고됩니다. openssl_cipher_iv_length()를 사용하여 현재 알고리즘에 필요한 iv 길이를 가져온 다음 openssl_random_pseudo_bytes() 함수를 사용하여 알고리즘 길이와 일치하는 임의의 iv 콘텐츠를 생성합니다.
중간 매개변수 0은 지정된 태그의 비트별 OR 값입니다. OPENSSL_RAW_DATA 및 OPENSSL_ZERO_PADDING이라는 두 가지 선택적 상수가 있습니다. OPENSSL_RAW_DATA로 설정되면 암호화된 데이터가 그대로 반환됩니다(바이너리 왜곡된 콘텐츠). OPENSSL_ZERO_PADDING으로 설정하면 암호화된 데이터가 base64 이후의 내용으로 반환됩니다.
openssl_decrypt()는 데이터를 해독하는 데 사용됩니다. 필수 매개변수는 원본 데이터가 암호화된 데이터로 대체된다는 점을 제외하면 기본적으로 암호화 기능과 동일합니다.
대칭 암호화에는 AEAD 암호화 모드(GCM 또는 CCM)도 있습니다. 이 모드 알고리즘을 사용하려면 매개변수가 하나 더 필요합니다.
$algorithm = 'aes-128-gcm'; $password = openssl_encrypt($data, $algorithm, $key, 0, $iv, $tags); echo $password, PHP_EOL; // dPYsR+sdP56rQ99CNxciah+N echo openssl_decrypt($password, $algorithm, $key, 0, $iv, $tags), PHP_EOL; // 测试对称加密
이 $tags는 참조 유형 매개변수입니다. 즉, 암호화 후 이 변수에 할당됩니다. 복호화 중에도 동일한 확인 태그가 필요합니다.
암호화 및 복호화 프로세스의 관점에서 이 정보를 데이터베이스에 저장하거나 전송 및 복호화할 때 최소한 암호화에 사용되는 iv, 암호화에 사용되는 알고리즘 등의 필드를 저장하거나 전송해야 합니다. , AEAD 모드는 암호화에 사용되는 확인 태그입니다. 그렇지 않으면 데이터를 복호화할 수 없습니다.
대칭형 암호화 알고리즘 쿼리
print_r(openssl_get_cipher_methods()); // Array // ( // [0] => AES-128-CBC // [1] => AES-128-CBC-HMAC-SHA1 // [2] => AES-128-CFB // [3] => AES-128-CFB1 // [4] => AES-128-CFB8 // [5] => AES-128-CTR // [6] => AES-128-ECB // [7] => AES-128-OFB // [8] => AES-128-XTS // [9] => AES-192-CBC // [10] => AES-192-CFB // [11] => AES-192-CFB1 // [12] => AES-192-CFB8 // …… // )
위의 암복호화 테스트에서 선택한 알고리즘을 이 함수에서 찾아냅니다. 이 함수는 현재 환경에서 지원되는 모든 알고리즘 목록을 표시합니다.
요약
이 글의 내용에는 이론적 지식이 많이 포함되어 있으며, 여전히 모든 사람이 이를 소화해야 합니다. OpenSSL을 사용하여 암호화/암호 해독 기능을 구현하는 것은 실제로 비교적 간단합니다. 결국 모든 것이 캡슐화되어 있으므로 문서에 따라 함수를 호출하기만 하면 됩니다. 학습에는 여전히 이론과 실습이 결합되어야 합니다. 물론 더 중요한 것은 직접 해보는 것입니다.
테스트 코드:
https://github.com/zhangyue0503/dev-blog/blob/master/php/202007/source/PHP%E7%9A%84OpenSSL%E5%8A%A0%E5%AF%86%E6%89%A9%E5%B1%95%E5%AD%A6%E4%B9%A0%EF%BC%88%E4%B8%80%EF%BC%89%EF%BC%9A%E5%AF%B9%E7%A7%B0%E5%8A%A0%E5%AF%86.php
추천 학습: php 비디오 튜토리얼