最近两年一直从事与金融相关项目的开发与维护。但是,关于 PHP 加密解密的最佳实践,网上没有人给出一个完美的总结。恰逢最近看了《图解密码技术》一书,对 PHP 加解密有了更深刻的认识。
为了避免各位看枯燥的文字理论,开篇我就把总结给出:
一、对称加密
对称加密的特点是加解密速度快,加密后的密文强度目前还没有硬解的可能性。但是,在未来随着计算机性能的提升有可能会出现被破解的可能性。
对称加密的缺点也很明显。对称加密的加密过程与解密过程使用的是同一把密钥。一旦泄漏密钥,加密就失去了任何意义。
根据《图解密码技术》一书的推荐,对称加密目前推荐使用 AES。在 PHP 当中要实现 AES 加解密,是使用 openssl 扩展来实现。所以,请确保你的 PHP 已经开启了 openssl 扩展。
可以通过如下方式检测:
或者如下方式检测:
AES 的加密模式属于分组密码模式。所谓分组密码,是加密时把明文按照固定的长度分组,然后再进行加密。当然,细节之处很很多不同。AES 分组模式有多种:ECB、CBC、CFB、OFB、CTR 五种分组模式。目前优先推荐使用 CBC 模式。
如果使用 CBC 模式,那么在加密的时候,就需要一个前置的加密向量 IV。当初博主在使用 AES 来加密的时候,就很奇怪一个对称加密为何要这个向量。因为,在博主寒冰的潜意识里,对称加密只需要一个密钥就 Ok 了。没想到 AES 加密还有多种模式,而这个 CBC 模式恰恰就需要一个这样的向量值。关于这个向量大家可以在网上查阅相关的资料。这个东西非常重要,也非常好理解。
关于 PHP AES 加解密会用到的相关方法:
AES 支持三种强度:128、192、256。128 位的强度最低,但是,加密解密速度较快。256 位强度最高,但是,加密解密速度最低。所以,大家根据自己系统的重要程度选择使用对应强度。通常普通的金融项目使用 192 位完整够用了。顶级的就用 256 位。其他的就用 128 位吧。
二、非对称加密
非对称加密是指公钥加密私钥解密,私钥加密公钥解密的算法。非对称加密的算法有很多。《图解密码技术》一书推荐使用 RSA 算法。它使用起来也非常简单。
要使用 RSA 算法。首先,我们必须生成一对公钥私钥。其实生成公钥私钥很简单。
在 Linux 系统,直接使用如下命令生成:
此命令会生 ~/.ssh/ 目录下生成两个文件:
id_rsa 是私钥, is_rsa.pub 是公钥。
关于 PHP RSA 加解密会用到的相关方法:
以上就是关于在 PHP 项目开发中,我们使用的加密解密算法的一个总结。博主寒冰在总结过程中难免会有不足之处,还请大家指正!谢谢!
❷ 非对称加密之-RSA加密
对一个大整数进行因数分解,在高等数学中叫做费马大定理,至今没有被破解
RSA算法是最流行的公钥密码算法,使用长度可以变化的密钥。RSA是第一个既能用于数据加密也能用于数字签名的算法。
这是目前地球上最重要的加密算法
至此,所有计算完成。
将 n和e封装成公钥 , n和d封装成私钥 。
回顾上面的密钥生成步骤,一共出现六个数字:
这六个数字之中,公钥用到了两个(n和e),其余四个数字都是不公开的。其中最关键的是d,因为n和d组成了私钥,一旦d泄漏,就等于私钥泄漏。
那么, 有无可能在已知n和e的情况下,推导出d?
最终转换成->结论: 如果n可以被因数分解,d就可以算出,也就意味着私钥被破解。
第一步 :首先生成秘钥对
第二步 :公钥加密
第三步 :私钥解密
几个全局变量解说:
关于加密填充方式:之前以为上面这些操作就能实现rsa加解密,以为万事大吉了,呵呵,这事还没完,悲剧还是发生了, android这边加密过的数据,服务器端死活解密不了, ,这造成了在android机上加密后无法在服务器上解密的原因,所以在实现的时候这个一定要注意
实现分段加密:搞定了填充方式之后又自信的认为万事大吉了,可是意外还是发生了,RSA非对称加密内容长度有限制,1024位key的最多只能加密127位数据,否则就会报错(javax.crypto.IllegalBlockSizeException: Data must not be longer than 117 bytes) ,RSA 是常用的非对称加密算法。最近使用时却出现了“不正确的长度”的异常,研究发现是由于待加密的数据超长所致。RSA 算法规定:待加密的字节数不能超过密钥的长度值除以 8 再减去 11(即:KeySize / 8 - 11),而加密后得到密文的字节数,正好是密钥的长度值除以 8(即:KeySize / 8)。
爱丽丝选择了61和53。(实际应用中,这两个质数越大,就越难破解。)
爱丽丝就把61和53相乘
n的长度就是密钥长度。3233写成二进制是110010100001,一共有12位,所以这个密钥就是12位。实际应用中,RSA密钥一般是1024位,重要场合则为2048位
爱丽丝算出φ(3233)等于60×52,即3120。
爱丽丝就在1到3120之间,随机选择了17。(实际应用中,常常选择65537。)
所谓 "模反元素" 就是指有一个整数d,可以使得ed被φ(n)除的余数为1。
这个式子等价于
于是,找到模反元素d,实质上就是对下面这个二元一次方程求解。
已知 e=17, φ(n)=3120,
至此所有计算完成
在爱丽丝的例子中,n=3233,e=17,d=2753,所以公钥就是 (3233,17),私钥就是(3233, 2753)。
实际应用中,公钥和私钥的数据都采用 ASN.1 格式表达
回顾上面的密钥生成步骤,一共出现六个数字:
这六个数字之中,公钥用到了两个(n和e),其余四个数字都是不公开的。其中最关键的是d,因为n和d组成了私钥,一旦d泄漏,就等于私钥泄漏。
那么,有无可能在已知n和e的情况下,推导出d?
结论:如果n可以被因数分解,d就可以算出,也就意味着私钥被破解。
可是,大整数的因数分解,是一件非常困难的事情。目前,除了暴力破解,还没有发现别的有效方法。维基网络这样写道
举例来说,你可以对3233进行因数分解(61×53),但是你没法对下面这个整数进行因数分解。
它等于这样两个质数的乘积
事实上,RSA加密的方式原理是一个高等数学中没有被解决的难题,所有没有可靠的RSA的破解方式
❸ php 当中 openssl_private_encrypt 加密的时候 为什么只能加密117个字符的长度的字符串,超过这个长度的字
PHP RSA使用非对称加解密就是 密钥/8 -11的长度。你可以使用AES/DES对称加解密这个不限制长度
❹ RSA加密算法原理
RSA加密算法是一种典型的非对称加密算法,它基于大数的因式分解数学难题,它也是应用最广泛的非对称加密算法,于1978年由美国麻省理工学院(MIT)的三位学着:Ron Rivest、Adi Shamir 和 Leonard Adleman 共同提出。
它的原理较为简单,假设有消息发送方A和消息接收方B,通过下面的几个步骤,就可以完成消息的加密传递:
消息发送方A在本地构建密钥对,公钥和私钥;
消息发送方A将产生的公钥发送给消息接收方B;
B向A发送数据时,通过公钥进行加密,A接收到数据后通过私钥进行解密,完成一次通信;
反之,A向B发送数据时,通过私钥对数据进行加密,B接收到数据后通过公钥进行解密。
由于公钥是消息发送方A暴露给消息接收方B的,所以这种方式也存在一定的安全隐患,如果公钥在数据传输过程中泄漏,则A通过私钥加密的数据就可能被解密。
如果要建立更安全的加密消息传递模型,需要消息发送方和消息接收方各构建一套密钥对,并分别将各自的公钥暴露给对方,在进行消息传递时,A通过B的公钥对数据加密,B接收到消息通过B的私钥进行解密,反之,B通过A的公钥进行加密,A接收到消息后通过A的私钥进行解密。
当然,这种方式可能存在数据传递被模拟的隐患,但可以通过数字签名等技术进行安全性的进一步提升。由于存在多次的非对称加解密,这种方式带来的效率问题也更加严重。
❺ 有谁知道php RSA加解密过程的来看一下
1、加米解米的第一步是生成公钥、私钥对,私钥加米的内容能通过公钥解米(反过来亦可以)下载开源RSA米钥生成工具openssl(通常Linux系统都自带该程序),解压缩至独立的文件夹,进入其中的bin目录,执行以下命令:
复制代码 代码如下:
openssl genrsa -out rsa_private_key.pem 1024openssl pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -nocrypt -out private_key.pemopenssl rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem第一条命令生成原始 RSA私钥文件 rsa_private_key.pem,第二条命令将原始 RSA私钥转换为 pkcs8格式,第三条生成RSA公钥 rsa_public_key.pem从上面看出通过私钥能生成对应的公钥,因此我们将私钥private_key.pem用在服务器端,公钥发放给android跟ios等前端2、php中用生成的公钥、私钥进行加米解米,直接上代码复制代码 代码如下:
$fp=fopen("rsa/rsa_private_key.pem","r"); //你的私钥文件路径$private_key=fread($fp,8192);
fclose($fp);
$fp1=fopen("rsa/rsa_public_key.pem","r"); //你的公钥文件路径$public_key=fread($fp1,8192);
fclose($fp1);
//echo $private_key;
$pi_key=openssl_pkey_get_private($private_key);//这个函数可用来判断私钥是否是可用的,可用返回资源id Resource id$pu_key=openssl_pkey_get_public($public_key );//这个函数可用来判断公钥是否是可用的print_r($pi_key);echo "\n"; echo "<br>";
print_r($pu_key);echo "\n"; echo "<br>";
echo "<hr>";
$data='php ras加米算法';
$encrypted = "";
$decrypted = "";
echo "加米的源数据:".$data."\n"; echo "<br>";echo "private key encrypt:\n"; echo "<br>";openssl_private_encrypt($data,$encrypted,$pi_key);//私钥加米$encrypted = base64_encode($encrypted);//加米后的内容通常含有特殊字符,需要编码转换下,在网络间通过url传输时要注意base64编码是否是url安全的echo '私钥加米后:'.$encrypted."\n"; echo "<br>";echo "<br>";echo "public key decrypt:\n"; echo "<br>";openssl_public_decrypt(base64_decode($encrypted),$decrypted,$pu_key);//私钥加米的内容通过公钥可用解米出来echo '公钥解米后:'.$decrypted."\n"; echo "<br>";echo "<hr>";
echo "public key encrypt:\n"; echo "<br>";openssl_public_encrypt($data,$encrypted,$pu_key);//公钥加米$encrypted = base64_encode($encrypted);
echo $encrypted,"\n"; echo "<br>";
echo "private key decrypt:\n"; echo "<br>";openssl_private_decrypt(base64_decode($encrypted),$decrypted,$pi_key);//私钥解米echo $decrypted,"\n"; echo "<br>";
PHP的RSA配置常见问题:
●PHP开发语言的代码示例中openssl文件夹中的3个DLL文件用法1、如果你的系统是windows系统,且system32文件目录下没有libeay32.dll、ssleay32.dll这两个文件那么需要拷贝这两个文件到system32文件目录。
2、如果您的php安装目录下(php\ext)中没有php_openssl.dll那么请把php_openssl.dll放在这个文件夹中
喜欢加米解米的小伙伴一定要好好看看这篇文章,受益匪浅。。。
?
❻ ThinkPHP Rsa加密类怎么用
<?php
namespacelibs;
classRsa{
privatestatic$PRIVATE_KEY;
privatestatic$PUBLIC_KEY;
function__construct($pubKey='',$privKey=''){
self::$PUBLIC_KEY=$pubKey;
self::$PRIVATE_KEY=$privKey;
}
($input)
{
$remainder=strlen($input)%4;
if($remainder){
$padlen=4-$remainder;
$input.=str_repeat('=',$padlen);
}
returnbase64_decode(strtr($input,'-_','+/'));
}
($input)
{
returnstr_replace('=','',strtr(base64_encode($input),'+/','-_'));
}
(){
$privKey=self::$PRIVATE_KEY;
returnopenssl_pkey_get_private($privKey);
}
(){
$pubKey=self::$PUBLIC_KEY;
returnopenssl_pkey_get_public($pubKey);
}
($data)
{
if(!is_string($data)){
returnnull;
}
returnopenssl_private_encrypt($data,$encrypted,self::getPrivateKey())?self::urlsafeB64Encode($encrypted):null;
}
($encrypted)
{
if(!is_string($encrypted)){
returnnull;
}
return(openssl_private_decrypt(self::urlsafeB64Decode($encrypted),$decrypted,self::getPrivateKey()))?$decrypted:null;
}
($data)
{
if(!is_string($data)){
returnnull;
}
returnopenssl_public_encrypt($data,$encrypted,self::getPublicKey())?self::urlsafeB64Encode($encrypted):null;
}
($encrypted)
{
if(!is_string($encrypted)){
returnnull;
}
return(openssl_public_decrypt(self::urlsafeB64Decode($encrypted),$decrypted,self::getPublicKey()))?$decrypted:null;
}
}
?>