PHP OpenSSL扩展 - 对称加密

最新推荐文章于 2022-11-23 16:05:26 发布

原创最新推荐文章于 2022-11-23 16:05:26 发布 · 810 阅读

0 ·

CC 4.0 BY-SA版权

个人博客：https://blog.sreio.com

文章标签：

#php #openssl #对称加密

PHP 专栏收录该内容

23 篇文章

订阅专栏

随着mcrypt扩展的退役，PHP开发人员需要转向OpenSSL扩展进行加密操作。本文重点介绍了PHP OpenSSL扩展中的对称加密，包括openssl_encrypt()、openssl_decrypt()等函数的使用，并通过示例代码展示了加密和解密过程。同时，强调了初始化向量（IV）的重要性，以及在使用CBC模式加密算法时，IV的随机生成和保存的规则。

PHP 在进入7.x 时代后，默认就不再附带 mcrypt 扩展，mcrypt 将被 openssl_* 一族函数所替代。所以，对于 PHPer 来说，有必要学习一下 PHP 的 OpenSSL 扩展。

本文就先从 OpenSSL 扩展中的对称加密说起。后面会陆续更多非对称加密、数字签名、数字证书等函数的讲解。

PHP 的 OpenSSL 扩展中，对称加密的相关函数有：

openssl_encrypt()
openssl_decrypt()
openssl_random_pseudo_bytes()
openssl_get_cipher_methods()
openssl_cipher_iv_length()

光看PHP的官方文档还有点难理解。上一段代码，更清楚地看下这些函数怎么完成加密的：

// 加密算法
 $encryptMethod = 'aes-256-cbc';
// 明文数据
 $data = 'Hello World';

// 生成IV
 $ivLength = openssl_cipher_iv_length($encryptMethod);
 $iv = openssl_random_pseudo_bytes($ivLength, $isStrong);
 if (false === $iv && false === $isStrong) {
     die('IV generate failed');
 }

// 加密
 $encrypted = openssl_encrypt($data, $encryptMethod, 'secret', 0, $iv);
// 解密
 $decrypted = openssl_decrypt($encrypted, $encryptMethod, 'secret', 0, $iv);

详细解释一下：

第 1 行指定了加密算法。比如这段代码使用 aes-256-cbc 算法加密。其实PHP的OpenSSL扩展支持很多种加密算法，想知道所有对称加密算法名称列表，可以调用 openssl_get_cipher_methods() 函数，这会返回一个数组：

array(
  0 => 'AES-128-CBC',
  1 => 'AES-128-CBC-HMAC-SHA1',
  ...
  7 => 'AES-128-ECB',
  ...
  31 => 'BF-CBC'，
  200 => 'seed-ofb',
)

你会发现函数返回将近200种加密算法，实际上没有这么多，许多只是因为大小写不同而重复了，比如 AES-128-CBC 和 aes-128-cbc 实际上是同一种加密算法。如果去掉重复项，那么 PHP 的 OpenSSL 扩展支持大概100多种不同的加密算法。

第 3 ~ 7 行 生成了 IV。为什么要生成 IV，这个 IV 有什么用？

回顾一下 openssl_get_cipher_methods() 返回的加密算法列表，有很多名字中间带有 “CBC” 字样，这些加密算法使用了同一种加密模式，也就是 密码分组链接模式（Cipher Block Chaining）。

在 CBC 模式的加密算法中，明文会被分成若干个组，以组为单位加密。每个组的加密过程，依赖他前一个组的数据：需要跟前一组的数据进行异或操作后生成本组的密文。那么最开头的那个组又要依赖谁呢？依赖的就是 IV，所以这就是为什么 IV 要叫初始化向量。IV 是初始化向量（initialization vector）的缩写

IV 应该是随机生成的，所以代码用到了 openssl_random_pseudo_bytes() 生成 IV。该函数接收一个 int，代表需要生成的 IV 的长度。

IV 长度随加密算法不同而不同。一般人是记不住那么多算法需要的 IV 长度的。所以直接使用 openssl_cipher_iv_length() 函数，这个函数返回一个 int，表示加密算法需要的 IV 长度：

echo openssl_cipher_iv_length('AES-256-CBC'); // 16
echo openssl_cipher_iv_length('BC-CBC'); // 8
echo openssl_cipher_iv_length('AES-128-ECB'); // 0

比如 AES-256-CBC 需要16位的 IV、 BC-CBC 需要 8 位的 IV、而AES-128-ECB 不需要 IV，所以返回了 0。

第 8 ~ 9 行 是加密和解密。分别使用了 openssl_encrypt() 和 openssl_decrypt()。

第一个参数是输入，对 openssl_encrypt() 来说是明文串，对 openssl_decrypt() 来说是密文串
第二个参数是指定加密 / 解密算法
第三个参数是加密 / 解密时需要用到的密码，是个字符串
第四个参数额外选项，没有特殊需要可以保持默认值：0，
第五个参数是 IV

这两个函数除了第一个参数不同，其余参数都要保证相同才能顺利解密。最后，在使用需要 IV 的加密算法时，需要注意：

必须传 $iv 参数，不传的话PHP将会抛出一个 Warning
IV 应该是随机生成的（比如用 openssl_random_pseudo_bytes() ），不能人为设定
每次加密都应该重新生成一次 IV ，不可偷懒多次加密采用相同 IV
IV 要随着密文一起保存（不然就没法解密了啦），可以直接附在密文串后面，也可以分开保存

PHP实现OpenSSL RSA非对称加密解密

<?php  
 
//私匙
$private_key = '-----BEGIN RSA PRIVATE KEY-----  
MIICXQIBAAKBgQC3//sR2tXw0wrC2DySx8vNGlqt3Y7ldU9+LBLI6e1KS5lfc5jl  
TGF7KBTSkCHBM3ouEHWqp1ZJ85iJe59aF5gIB2klBd6h4wrbbHA2XE1sq21ykja/  
Gqx7/IRia3zQfxGv/qEkyGOx+XALVoOlZqDwh76o2n1vP1D+tD3amHsK7QIDAQAB  
AoGBAKH14bMitESqD4PYwODWmy7rrrvyFPEnJJTECLjvKB7IkrVxVDkp1XiJnGKH  
2h5syHQ5qslPSGYJ1M/XkDnGINwaLVHVD3BoKKgKg1bZn7ao5pXT+herqxaVwWs6  
ga63yVSIC8jcODxiuvxJnUMQRLaqoF6aUb/2VWc2T5MDmxLhAkEA3pwGpvXgLiWL  
3h7QLYZLrLrbFRuRN4CYl4UYaAKokkAvZly04Glle8ycgOc2DzL4eiL4l/+x/gaq  
deJU/cHLRQJBANOZY0mEoVkwhU4bScSdnfM6usQowYBEwHYYh/OTv1a3SqcCE1f+  
qbAclCqeNiHajCcDmgYJ53LfIgyv0wCS54kCQAXaPkaHclRkQlAdqUV5IWYyJ25f  
oiq+Y8SgCCs73qixrU1YpJy9yKA/meG9smsl4Oh9IOIGI+zUygh9YdSmEq0CQQC2  
4G3IP2G3lNDRdZIm5NZ7PfnmyRabxk/UgVUWdk47IwTZHFkdhxKfC8QepUhBsAHL  
QjifGXY4eJKUBm3FpDGJAkAFwUxYssiJjvrHwnHFbg0rFkvvY63OSmnRxiL4X6EY  
yI9lblCsyfpl25l7l5zmJrAHn45zAiOoBrWqpM5edu7c  
-----END RSA PRIVATE KEY-----';  
  
//公匙
$public_key = '-----BEGIN PUBLIC KEY-----  
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3//sR2tXw0wrC2DySx8vNGlqt  
3Y7ldU9+LBLI6e1KS5lfc5jlTGF7KBTSkCHBM3ouEHWqp1ZJ85iJe59aF5gIB2kl  
Bd6h4wrbbHA2XE1sq21ykja/Gqx7/IRia3zQfxGv/qEkyGOx+XALVoOlZqDwh76o  
2n1vP1D+tD3amHsK7QIDAQAB  
-----END PUBLIC KEY-----';  
 
$data = "aasasdasdsssasdfasaasasdddaasasdasdsssasdfasdasssddd";//原始数据  或者是需要加密的数据
 
$pi_key =  openssl_pkey_get_private($private_key);//这个函数可用来判断私钥是否是可用的，可用返回资源id Resource id  
$pu_key = openssl_pkey_get_public($public_key);//这个函数可用来判断公钥是否是可用的  
 
 
//私匙加密公式解密 
openssl_private_encrypt($data,$encrypted,$pi_key);//私钥加密  
$encrypted = base64_encode($encrypted);//base64只是为了避免特殊字符  
// echo $encrypted ;exit;//加密之后的结果
openssl_public_decrypt(base64_decode($encrypted),$decrypted,$pu_key);//私钥加密的内容通过公钥可用解密出来  
// echo $decrypted,"\n";  exit;//解密之后的结果
 
exit;
 
//公私加密私匙解密
openssl_public_encrypt($data,$encrypted,$pu_key);//公钥加密  
$encrypted = base64_encode($encrypted);  //base64只是为了避免特殊字符  
openssl_private_decrypt(base64_decode($encrypted),$decrypted,$pi_key);//私钥解密  
echo $decrypted,"\n";

私钥与公钥生成可以选择代码或者OpenSSL命令生成【链接】：

//php代码生成
$opensslConfigPath = "D:\phpstudy\PHPTutorial\Apache\conf\openssl.cnf"; 

$config = array(

    "digest_alg" => "sha512",

    "private_key_bits" =>2048,

    "private_key_type" => OPENSSL_KEYTYPE_RSA,

    'config'=> $opensslConfigPath

);

  

  

//创建密钥对

$res = openssl_pkey_new($config);

//生成私钥

openssl_pkey_export($res, $privkey, null, $config);

//生成公钥

$pubKey = openssl_pkey_get_details($res)['key'];

print_r($privkey);

echo '<p style="height:100px;background:red">1</p>';

print_r($pubKey);

file_put_contents('private.key',$privkey);

file_put_contents('public.key',$pubKey);

转自链接：https://www.jianshu.com/p/8f82e8fd123e