Wie zum verschlüsseln von Klartext mit AES-256-CBC in PHP mit OpenSSL?

Ich versuche zu verschlüsseln, vertrauliche Daten wie persönliche Nachrichten in meinem php betriebene website vor der Eingabe in die Datenbank. Ich habe etwas recherchiert im internet und ich habe festgestellt, dass einige wichtige Dinge zu beachten:

  1. Nie verwenden, mcrypt, es ist abandonware.

  2. AES basiert auf dem Rijndael-Algorithmus und wurde ungebrochen bis heute.

  3. AES hat auch empfohlen worden, die von NSA und wird in der US-Regierung, Daten-Verschlüsselung, aber seit der NSA ist es zu empfehlen, es gibt eine chance, die Sie vielleicht schleichen Sie auf meine Benutzer-Daten leicht.

  4. Blowfish wurde ungebrochen als gut, aber langsam und weniger beliebte.

So, ich habe beschlossen, ich werde versuchen Sie es zunächst mit AES-256-cbc. Aber ich bin noch nicht sicher, ob ich sollte nicht der Ansicht, Blowfish eine bessere option. Also, alle Empfehlungen sind willkommen.

Und meine primäre Sorge ist, wie der zum verschlüsseln der Daten in php? Ich finde ein gutes Handbuch über dieses in der php-Dokumentation. Was ist der richtige Weg, um es zu implementieren?

Jede Hilfe ist schwer zu schätzen.

InformationsquelleAutor DASH | 2016-01-19
  1. 16

    AES-256 (OpenSSL-Implementierung)

    Sind Sie im Glück.

    Den openssl Erweiterung hat einige Recht einfache Methoden für die AES-256. Die Schritte, die Sie ergreifen müssen, sind im Grunde...

    1. Generieren einer 256-bit-Verschlüsselung Schlüssel (Dieser muss irgendwo speichern)
      • $encryption_key = openssl_random_pseudo_bytes(32);
    2. Erzeugen ein "initialization vector" (auch Dies Bedarf einer Speicherung der für die Entschlüsselung aber wir können Anhängen, um den verschlüsselten Daten)
      • $iv = openssl_random_pseudo_bytes(openssl_cipher_iv_length('aes-256-cbc'));
    3. verschlüsseln von Daten unter Verwendung openssl_encrypt()
      • openssl_encrypt($data, 'aes-256-cbc', $encryptionKey, $options, $initializationVector)
      • die $options kann eingestellt werden, um 0 für Standard-Optionen oder geändert werden, um OPENSSL_RAW_DATA | OPENSSL_ZERO_PADDING
    4. fügen Sie den Initialisierungsvektor zu den verschlüsselten Daten
      • $encrypted = $encrypted . ':' . $iv;
    5. abrufen der verschlüsselten Daten und der Initialisierungsvektor.
      • explode(':' , $encrypted);
    6. entschlüsseln von Daten unter Verwendung openssl_decrypt()
      • openssl_decrypt($encryptedData, 'aes-256-cbc', $encryptionKey, $options, $initializationVector)

    Aktivieren openssl

    openssl_functions() werden nicht standardmäßig verfügbar, Sie können diese Erweiterung in Ihrem php.ini - Datei, indem Sie die Kommentarzeichen der Zeile. ;extension=php_openssl.dll durch das entfernen des führenden ;

    PHP - Geige.

    http://phpfiddle.org/lite/code/9epi-j5v2

    • Ich habe irgendwo gelesen, dass ich, sollte es zu konvertieren in hex, bevor Sie fortfahren, welchen Teil sollte ich konvertieren? Und können Sie bitte geben Sie mir ein Beispiel für den Schlüssel und IV?
    • zusätzliche Beispiele des key und iv generation. Nicht sicher über hex-Umwandlung hab ich immer gearbeitet, von den oben genannten. Upps behoben einen Tippfehler zu.
    • Okay, vielen Dank dafür! Ist es sicher, zum speichern der verschlüsselten Daten direkt an die Datenbank und wenn der Empfänger es sehen, ich werde nur lassen Sie die Schlüssel und iv?
    • Die Umsetzung ist völlig bis zu Ihnen. Meiner Meinung nach wäre es besser, um den Benutzer zu authentifizieren, die in PHP-code, wenn Sie die Daten anzufordern. Vielleicht mit einem login-system zum Beispiel. Dann authentifiziert Menschen leiden kann gezeigt werden die unverschlüsselten Daten. Würde ich nicht immer empfehlen, die Veröffentlichung der keys.
    • Eine andere Sache, sollte ich lassen Sie die Optionen auf 0? Und ja, ich habe das getan. Ich habe ein login-system mit bcrypt zur Validierung der Passwörter. Ich muss wissen, ob es sicher ist, zu speichern sensible Daten, wie persönliche Nachrichten in meiner Datenbank? Wird es langsam nach unten meine Leistung? Und blowfish ein brauchbarer Ersatz für diese?
    • Vorausgesetzt, Sie verschlüsseln die Daten, es ist OK, um es zu speichern in die Datenbank. Der performance-hit ist negligble. Es spielt keine Rolle, wie groß die Leistung Ihrer Codebasis ist. Wenn es nicht speichern kann der Benutzer die E-Mails sicher - die Menschen werden nicht bereit sein, es zu benutzen.. ich weiß nicht genug über Blowfish als alternative, um eine faire Antwort. Vielleicht hat jemand anderes könnte hinzufügen, ein Beispiel blowfish.
    • Es ist ein fataler Fehler, sagt undefined function openssl_random_pseudo_bytes.
    • Siehe hier: stackoverflow.com/questions/11212808/... Die openssl-Bibliothek ist eine Erweiterung von Kern-PHP - Sie brauchen, um es zu aktivieren in Ihrem php.ini
    • Da gibt es eine nicht-null-chance, die ":" werden in den verschlüsselten string mit explode ist nicht die beste Wahl. Ich würde empfehlen, mit substr.
    • solange Sie das nicht mit OPENSSL_RAW_DATA dann $verschlüsselt ist, die eine base64-string, und wenn Sie base64_encode($iv), bevor die Verkettung mit ':' und dann werden Sie sicher als base64-nicht mit ':'

    InformationsquelleAutor Luke
Schreibe einen Kommentar