我的意思是:
Original String + Salt or Key --> Encrypted String
Encrypted String + Salt or Key --> Decrypted (Original String)
也许是这样的:
"hello world!" + "ABCD1234" --> Encrypt --> "2a2ffa8f13220befbe30819047e23b2c" (may be, for e.g)
"2a2ffa8f13220befbe30819047e23b2c" --> Decrypt with "ABCD1234" --> "hello world!"
尝试使用
Crypt_Blowfish ,但它对我不起作用。
最佳答案
在您进一步操作之前,请先了解 the difference between encryption and authentication ,以及为什么您可能需要经过身份验证的加密而不仅仅是加密。
要实现经过身份验证的加密,您需要先加密,然后再 MAC。 The order of encryption and authentication is very important!这个问题的现有答案之一犯了这个错误;许多用 PHP 编写的密码学库也是如此。
您应该avoid implementing your own cryptography ,而是使用由密码学专家编写和审查的安全库。
Update: PHP 7.2 now provides libsodium! For best security, update your systems to use PHP 7.2 or higher and only follow the libsodium advice in this answer.
Use libsodium if you have PECL access (或 sodium_compat 如果您想要不含 PECL 的 libsodium);否则...
Use defuse/php-encryption ;不要推出自己的密码学!
上面链接的两个库都可以轻松轻松地在您自己的库中实现经过身份验证的加密。
如果您仍然想编写和部署自己的密码学库,与 Internet 上每个密码学专家的传统智慧相反,这些是您必须采取的步骤。
加密:
解密:
hash_equals() 发送的MAC进行比较。 .如果失败,则中止。 其他设计注意事项:
mb_strlen()和 mb_substr() ,使用 '8bit'字符集模式防止mbstring.func_overload问题。 mcrypt_create_iv() , 请勿使用 MCRYPT_RAND !bin2hex() , base64_encode()等可能会通过缓存计时泄露有关您的加密 key 的信息。如果可能,请避免使用它们。 即使您遵循此处给出的建议,密码学也可能会出现很多问题。 始终让密码学专家审查您的实现。 如果您没有幸与本地大学的密码学学生成为私有(private) friend ,您可以随时尝试 Cryptography Stack Exchange论坛寻求建议。
如果您需要对您的实现进行专业分析,您可以随时聘请 reputable team of security consultants to review your PHP cryptography code (披露:我的雇主)。
重要提示:何时不使用加密
Don't encrypt passwords .您想使用以下密码散列算法之一对它们进行散列:
切勿使用通用哈希函数(MD5、SHA256)来存储密码。
Don't encrypt URL Parameters . 这是工作的错误工具。
使用 Libsodium 的 PHP 字符串加密示例
如果你使用的是 PHP < 7.2 或者没有安装 libsodium,你可以使用 sodium_compat完成相同的结果(尽管速度较慢)。
<?php
declare(strict_types=1);
/**
* Encrypt a message
*
* @param string $message - message to encrypt
* @param string $key - encryption key
* @return string
* @throws RangeException
*/
function safeEncrypt(string $message, string $key): string
{
if (mb_strlen($key, '8bit') !== SODIUM_CRYPTO_SECRETBOX_KEYBYTES) {
throw new RangeException('Key is not the correct size (must be 32 bytes).');
}
$nonce = random_bytes(SODIUM_CRYPTO_SECRETBOX_NONCEBYTES);
$cipher = base64_encode(
$nonce.
sodium_crypto_secretbox(
$message,
$nonce,
$key
)
);
sodium_memzero($message);
sodium_memzero($key);
return $cipher;
}
/**
* Decrypt a message
*
* @param string $encrypted - message encrypted with safeEncrypt()
* @param string $key - encryption key
* @return string
* @throws Exception
*/
function safeDecrypt(string $encrypted, string $key): string
{
$decoded = base64_decode($encrypted);
$nonce = mb_substr($decoded, 0, SODIUM_CRYPTO_SECRETBOX_NONCEBYTES, '8bit');
$ciphertext = mb_substr($decoded, SODIUM_CRYPTO_SECRETBOX_NONCEBYTES, null, '8bit');
$plain = sodium_crypto_secretbox_open(
$ciphertext,
$nonce,
$key
);
if (!is_string($plain)) {
throw new Exception('Invalid MAC');
}
sodium_memzero($ciphertext);
sodium_memzero($key);
return $plain;
}
<?php
// This refers to the previous code block.
require "safeCrypto.php";
// Do this once then store it somehow:
$key = random_bytes(SODIUM_CRYPTO_SECRETBOX_KEYBYTES);
$message = 'We are all living in a yellow submarine';
$ciphertext = safeEncrypt($message, $key);
$plaintext = safeDecrypt($ciphertext, $key);
var_dump($ciphertext);
var_dump($plaintext);
我一直在从事的项目之一是名为 Halite 的加密库。 ,旨在使 libsodium 更简单、更直观。
<?php
use \ParagonIE\Halite\KeyFactory;
use \ParagonIE\Halite\Symmetric\Crypto as SymmetricCrypto;
// Generate a new random symmetric-key encryption key. You're going to want to store this:
$key = new KeyFactory::generateEncryptionKey();
// To save your encryption key:
KeyFactory::save($key, '/path/to/secret.key');
// To load it again:
$loadedkey = KeyFactory::loadEncryptionKey('/path/to/secret.key');
$message = 'We are all living in a yellow submarine';
$ciphertext = SymmetricCrypto::encrypt($message, $key);
$plaintext = SymmetricCrypto::decrypt($ciphertext, $key);
var_dump($ciphertext);
var_dump($plaintext);
使用 defuse/php-encryption 的示例
<?php
/**
* This requires https://github.com/defuse/php-encryption
* php composer.phar require defuse/php-encryption
*/
use Defuse\Crypto\Crypto;
use Defuse\Crypto\Key;
require "vendor/autoload.php";
// Do this once then store it somehow:
$key = Key::createNewRandomKey();
$message = 'We are all living in a yellow submarine';
$ciphertext = Crypto::encrypt($message, $key);
$plaintext = Crypto::decrypt($ciphertext, $key);
var_dump($ciphertext);
var_dump($plaintext);
Crypto::encrypt()返回十六进制编码的输出。加密 key 管理
如果您想使用“密码”,请立即停止。您需要一个随机的 128 位加密 key ,而不是人类容易记住的密码。
您可以存储加密 key 以供长期使用,如下所示:
$storeMe = bin2hex($key);
$key = hex2bin($storeMe);
如果您使用的是 Defuse 的库:
$string = $keyObject->saveToAsciiSafeString() $loaded = Key::loadFromAsciiSafeString($string); “但我真的很想使用密码。”
这是一个坏主意,但好吧,这里是如何安全地做到这一点。
首先,生成一个随 secret 钥并将其存储在一个常量中。
/**
* Replace this with your own salt!
* Use bin2hex() then add \x before every 2 hex characters, like so:
*/
define('MY_PBKDF2_SALT', "\x2d\xb7\x68\x1a\x28\x15\xbe\x06\x33\xa0\x7e\x0e\x8f\x79\xd5\xdf");
然后使用 PBKDF2(像这样)从您的密码中派生出合适的加密 key ,而不是直接使用您的密码进行加密。
/**
* Get an AES key from a static password and a secret salt
*
* @param string $password Your weak password here
* @param int $keysize Number of bytes in encryption key
*/
function getKeyFromPassword($password, $keysize = 16)
{
return hash_pbkdf2(
'sha256',
$password,
MY_PBKDF2_SALT,
100000, // Number of iterations
$keysize,
true
);
}
关于php - 如何加密和解密 PHP 字符串?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16600708/