Двустороннее шифрование: мне нужно хранить пароли, которые можно получить

Question

Я создаю приложение, которое будет хранить пароли, которые пользователь может получить и просмотреть.Пароли предназначены для аппаратного устройства, поэтому о проверке хэшей не может быть и речи.

Что мне нужно знать:

1. Как зашифровать и расшифроватьпароль в PHP?

2. Какой самый безопасный алгоритм шифрования паролей с помощью?

3. Где хранить закрытый ключ?

4. Стоит ли вместо того, чтобы хранить закрытый ключ, требовать от пользователей вводить закрытый ключ каждый раз, когда им требуется расшифровать пароль?(Пользователям этого приложения можно доверять)

5. Каким образом пароль может быть украден и расшифрован?Что мне нужно знать?

Answer 1

Лично я бы использовал mcrypt, как и другие опубликованные.Но есть еще кое-что, на что следует обратить внимание ...

1. Как зашифровать и расшифровать пароль в PHP?

   Ниже приведен сильный класс, который заботится обо всемдля вас:

2. Какой самый безопасный алгоритм для шифрования паролей?

   самый безопасный ?любой из них.Самый безопасный способ шифрования - это защита от уязвимостей раскрытия информации (XSS, удаленное включение и т. Д.).Если он выйдет, злоумышленник может в конечном итоге взломать шифрование (никакое шифрование не является на 100% необратимым без ключа - как указывает @NullUserException, это не совсем верно. Существуют некоторые схемы шифрования, которые невозможно взломать, например OneTimePad ).

3. Где хранить закрытый ключ?

   Я бы использовал 3 ключа.Один из них предоставляется пользователем, один - для конкретного приложения, а другой - для конкретного пользователя (например, соль).Специфичный для приложения ключ может храниться где угодно (в файле конфигурации вне web-корня, в переменной среды и т. Д.).Конкретный пользователь будет храниться в столбце в БД рядом с зашифрованным паролем.Предоставленный пользователем один не будет сохранен.Затем вы должны сделать что-то вроде этого:

   $key = $userKey . $serverKey . $userSuppliedKey;
   

   Преимущество в том, что любые 2 ключа могут быть скомпрометированы без компрометации данных.Если есть атака SQL Injection, они могут получить $userKey, но не другой 2. Если есть локальный сервер, они могут получить $userKey и $serverKey, но не третий $userSuppliedKey.Если они избивают пользователя гаечным ключом, они могут получить $userSuppliedKey, но не другие 2 (но, опять же, если пользователь избит гаечным ключом, вы все равно опоздаете).

4. Вместо хранения закрытого ключа, является ли хорошей идеей требовать от пользователей вводить закрытый ключ в любое время, когда им требуется расшифровать пароль?(Пользователям этого приложения можно доверять)

   Абсолютно.На самом деле, это единственный способ, которым я бы это сделал.В противном случае вам потребуется хранить незашифрованную версию в формате длительного хранения (совместно используемая память, такая как APC или memcached, или в файле сеанса).Это подвергает себя дополнительным компромиссам.Никогда не храните незашифрованную версию пароля ни в чем, кроме локальной переменной.

5. Каким образом пароль может быть украден и расшифрован?Что мне нужно знать?

   Любая форма компрометации ваших систем позволит им просматривать зашифрованные данные.Если они могут внедрить код или получить доступ к вашей файловой системе, они могут просматривать расшифрованные данные (так как они могут редактировать файлы, которые расшифровывают данные).Любая форма Replay или MITM-атаки также даст им полный доступ к задействованным ключам.Обнаружение необработанного HTTP-трафика также даст им ключи.

   Использовать SSL для всего трафика.И убедитесь, что на сервере нет никаких уязвимостей (CSRF, XSS, SQL-инъекция, повышение привилегий, удаленное выполнение кода и т. Д.).

Редактировать: Вот реализация класса PHP метода надежного шифрования в классе:

/**
 * A class to handle secure encryption and decryption of arbitrary data
 *
 * Note that this is not just straight encryption.  It also has a few other
 *  features in it to make the encrypted data far more secure.  Note that any
 *  other implementations used to decrypt data will have to do the same exact
 *  operations.  
 *
 * Security Benefits:
 *
 * - Uses Key stretching
 * - Hides the Initialization Vector
 * - Does HMAC verification of source data
 *
 */
class Encryption {

    /**
     * @var string $cipher The mcrypt cipher to use for this instance
     */
    protected $cipher = '';

    /**
     * @var int $mode The mcrypt cipher mode to use
     */
    protected $mode = '';

    /**
     * @var int $rounds The number of rounds to feed into PBKDF2 for key generation
     */
    protected $rounds = 100;

    /**
     * Constructor!
     *
     * @param string $cipher The MCRYPT_* cypher to use for this instance
     * @param int    $mode   The MCRYPT_MODE_* mode to use for this instance
     * @param int    $rounds The number of PBKDF2 rounds to do on the key
     */
    public function __construct($cipher, $mode, $rounds = 100) {
        $this->cipher = $cipher;
        $this->mode = $mode;
        $this->rounds = (int) $rounds;
    }

    /**
     * Decrypt the data with the provided key
     *
     * @param string $data The encrypted datat to decrypt
     * @param string $key  The key to use for decryption
     * 
     * @returns string|false The returned string if decryption is successful
     *                           false if it is not
     */
    public function decrypt($data, $key) {
        $salt = substr($data, 0, 128);
        $enc = substr($data, 128, -64);
        $mac = substr($data, -64);

        list ($cipherKey, $macKey, $iv) = $this->getKeys($salt, $key);

        if (!hash_equals(hash_hmac('sha512', $enc, $macKey, true), $mac)) {
             return false;
        }

        $dec = mcrypt_decrypt($this->cipher, $cipherKey, $enc, $this->mode, $iv);

        $data = $this->unpad($dec);

        return $data;
    }

    /**
     * Encrypt the supplied data using the supplied key
     * 
     * @param string $data The data to encrypt
     * @param string $key  The key to encrypt with
     *
     * @returns string The encrypted data
     */
    public function encrypt($data, $key) {
        $salt = mcrypt_create_iv(128, MCRYPT_DEV_URANDOM);
        list ($cipherKey, $macKey, $iv) = $this->getKeys($salt, $key);

        $data = $this->pad($data);

        $enc = mcrypt_encrypt($this->cipher, $cipherKey, $data, $this->mode, $iv);

        $mac = hash_hmac('sha512', $enc, $macKey, true);
        return $salt . $enc . $mac;
    }

    /**
     * Generates a set of keys given a random salt and a master key
     *
     * @param string $salt A random string to change the keys each encryption
     * @param string $key  The supplied key to encrypt with
     *
     * @returns array An array of keys (a cipher key, a mac key, and a IV)
     */
    protected function getKeys($salt, $key) {
        $ivSize = mcrypt_get_iv_size($this->cipher, $this->mode);
        $keySize = mcrypt_get_key_size($this->cipher, $this->mode);
        $length = 2 * $keySize + $ivSize;

        $key = $this->pbkdf2('sha512', $key, $salt, $this->rounds, $length);

        $cipherKey = substr($key, 0, $keySize);
        $macKey = substr($key, $keySize, $keySize);
        $iv = substr($key, 2 * $keySize);
        return array($cipherKey, $macKey, $iv);
    }

    /**
     * Stretch the key using the PBKDF2 algorithm
     *
     * @see http://en.wikipedia.org/wiki/PBKDF2
     *
     * @param string $algo   The algorithm to use
     * @param string $key    The key to stretch
     * @param string $salt   A random salt
     * @param int    $rounds The number of rounds to derive
     * @param int    $length The length of the output key
     *
     * @returns string The derived key.
     */
    protected function pbkdf2($algo, $key, $salt, $rounds, $length) {
        $size   = strlen(hash($algo, '', true));
        $len    = ceil($length / $size);
        $result = '';
        for ($i = 1; $i <= $len; $i++) {
            $tmp = hash_hmac($algo, $salt . pack('N', $i), $key, true);
            $res = $tmp;
            for ($j = 1; $j < $rounds; $j++) {
                 $tmp  = hash_hmac($algo, $tmp, $key, true);
                 $res ^= $tmp;
            }
            $result .= $res;
        }
        return substr($result, 0, $length);
    }

    protected function pad($data) {
        $length = mcrypt_get_block_size($this->cipher, $this->mode);
        $padAmount = $length - strlen($data) % $length;
        if ($padAmount == 0) {
            $padAmount = $length;
        }
        return $data . str_repeat(chr($padAmount), $padAmount);
    }

    protected function unpad($data) {
        $length = mcrypt_get_block_size($this->cipher, $this->mode);
        $last = ord($data[strlen($data) - 1]);
        if ($last > $length) return false;
        if (substr($data, -1 * $last) !== str_repeat(chr($last), $last)) {
            return false;
        }
        return substr($data, 0, -1 * $last);
    }
}

Обратите внимание, что я использую функцию, добавленную в PHP 5.6: hash_equals.Если у вас уровень ниже 5.6, вы можете использовать эту функцию замещения, которая реализует сравнение с безопасностью по времени с использованием двойной проверки HMAC :

function hash_equals($a, $b) {
    $key = mcrypt_create_iv(128, MCRYPT_DEV_URANDOM);
    return hash_hmac('sha512', $a, $key) === hash_hmac('sha512', $b, $key);
}

Использование:

$e = new Encryption(MCRYPT_BLOWFISH, MCRYPT_MODE_CBC);
$encryptedData = $e->encrypt($data, $key);

Затем для расшифровки:

$e2 = new Encryption(MCRYPT_BLOWFISH, MCRYPT_MODE_CBC);
$data = $e2->decrypt($encryptedData, $key);

Обратите внимание, что я использовал $e2 во второй раз, чтобы показать, что разные экземпляры все равно будут правильно расшифровывать данные.

Теперь, как это работает / зачем использовать его в другом решении:

1. Ключи

   • Ключи не используются напрямую.Вместо этого ключ растягивается стандартным деривацией PBKDF2.

   • Ключ, используемый для шифрования, уникален для каждого зашифрованного блока текста.Таким образом, предоставленный ключ становится «главным ключом».Поэтому этот класс обеспечивает поворот ключей для ключей шифрования и аутентификации.

   • ВАЖНОЕ ПРИМЕЧАНИЕ , параметр $rounds настроен для истинных случайных ключей достаточной силы (128 битов)криптографически безопасного случайного как минимум).Если вы собираетесь использовать пароль или неслучайный ключ (или менее случайный, чем 128-битный случайный CS), вы должны увеличить этот параметр.Я бы предложил минимум 10000 для паролей (чем больше вы можете себе позволить, тем лучше, но это увеличит время выполнения) ...

2. Целостность данных

   • В обновленной версии используется ENCRYPT-THEN-MAC, который является гораздо лучшим методом для обеспечения подлинности зашифрованных данных.

3. Шифрование:

   • Он использует mcrypt для фактического выполнения шифрования.Я бы предложил использовать либо MCRYPT_BLOWFISH, либо MCRYPT_RIJNDAEL_128 cyphers и MCRYPT_MODE_CBC для режима.Он достаточно сильный и довольно быстрый (на моем компьютере цикл шифрования и дешифрования занимает около 1/2 секунды).

Теперь, что касается пункта 3 из первого списка, то, что вам даст эта функция, выглядит следующим образом:

function makeKey($userKey, $serverKey, $userSuppliedKey) {
    $key = hash_hmac('sha512', $userKey, $serverKey);
    $key = hash_hmac('sha512', $key, $userSuppliedKey);
    return $key;
}

Вы можете растянуть еев функции makeKey(), но поскольку она будет растянута позже, в этом нет особого смысла.

Что касается размера хранилища, то он зависит от простого текста.Blowfish использует 8-байтовый размер блока, поэтому у вас будет:

• 16 байт для соли
• 64 байт для hmac
• длина данных
• Заполнение так, чтобы длина данных% 8 == 0

Таким образом, для источника данных из 16 символов будет зашифровано 16 символов данных.Это означает, что фактический размер зашифрованных данных составляет 16 байтов из-за заполнения.Затем добавьте 16 байтов для соли и 64 байта для hmac, и общий сохраненный размер составит 96 байтов.Так что, в лучшем случае, накладные расходы в 80 символов, а в худшем - на 87 символов ...

Надеюсь, это поможет ...

Примечание: 12/11 /12: я только что обновил этот класс с НАМНОГО лучшим методом шифрования, используя лучшие производные ключи и исправив поколение MAC ...

Answer 2

Как зашифровать и расшифровать пароль в PHP? С помощью одного из многих алгоритмов шифрования.(или используя одну из множества библиотек)

Какой самый безопасный алгоритм для шифрования паролей? Существует множество различных алгоритмов, ни один из которых не является 100%безопасный.Но многие из них достаточно безопасны для коммерческих и даже военных целей

Где я могу хранить закрытый ключ? Если вы решили внедрить открытый ключ - алгоритм криптографии(например, RSA), вы не храните закрытый ключ.У пользователя есть закрытый ключ.в вашей системе есть открытый ключ, который можно хранить в любом месте.

Вместо хранения закрытого ключа, рекомендуется ли пользователям вводить закрытый ключ в любое время, когда им потребуетсяпароль расшифровывается?(Пользователям этого приложения можно доверять) Хорошо, если ваш пользователь может запоминать смехотворно длинные простые числа, тогда - да, почему бы и нет.Но, как правило, вам потребуется система, которая позволит пользователю хранить свой ключ где-то.

Каким образом пароль может быть украден и расшифрован?Что мне нужно знать? Это зависит от используемого алгоритма.Однако всегда следите за тем, чтобы вы не отправляли незашифрованный пароль пользователю или от него.Либо зашифруйте / расшифруйте его на стороне клиента, либо используйте https (или используйте другие криптографические средства для защиты соединения между сервером и клиентом).

Однако, если все, что вам нужно, это хранить пароли в зашифрованном виде, я бы посоветовал вам использовать простой XOR-шифр.Основная проблема этого алгоритма состоит в том, что он может быть легко взломан частотным анализом.Однако, как правило, пароли не состоят из длинных абзацев английского текста, я не думаю, что вам следует беспокоиться об этом.Вторая проблема с XOR Cipher заключается в том, что если у вас есть сообщение в зашифрованном и зашифрованном виде, вы можете легко узнать пароль, с помощью которого оно было зашифровано.Опять же, не большая проблема в вашем случае, поскольку она затрагивает только пользователя, который уже был скомпрометирован другими способами.

Answer 3

1. Функция PHP, которую вы ищете, - Mcrypt (http://www.php.net/manual/en/intro.mcrypt.php).

Пример из руководства немного отредактирован для этого примера):

<?php
$iv_size = mcrypt_get_iv_size(MCRYPT_BLOWFISH, MCRYPT_MODE_ECB);
$iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
$key = "This is a very secret key";
$pass = "PasswordHere";
echo strlen($pass) . "\n";

$crypttext = mcrypt_encrypt(MCRYPT_BLOWFISH, $key, $pass, MCRYPT_MODE_ECB, $iv);
echo strlen($crypttext) . "\n";
?>

Вы будете использовать mcrypt_decrypt для расшифровки вашего пароля.

2. Лучший алгоритм довольно субъективен - спросите 5 человек, получите 5 ответов. Лично, если значение по умолчанию (Blowfish) недостаточно для вас, у вас, вероятно, есть большие проблемы!

3. Учитывая, что PHP необходим для шифрования - не уверен, что вы можете его спрятать где-либо - приветствуйте комментарии по этому поводу. Конечно, применяются стандартные методы кодирования PHP!

4. Учитывая, что ключ шифрования в любом случае будет в вашем коде, не уверен, что вы получите, при условии, что остальная часть вашего приложения безопасна.

5. Очевидно, что если зашифрованный пароль и ключ шифрования украдены, то игра окончена.

Я бы поставил на ответ гонщика - я не эксперт по криптографии PHP, но я думаю, что я ответил, что это стандартная практика - я приветствую комментарии, которые могут быть у других.

Answer 4

Многие пользователи предлагают использовать mcrypt ... это правильно, но я хотел бы пойти дальше, чтобы его было легко хранить и передавать (поскольку иногда зашифрованные значения могут затруднить их отправку с использованием других технологий, таких как curl, или JSON).

После того, как вы успешно зашифровали с помощью mcrypt, запустите его через base64_encode и затем преобразуйте его в шестнадцатеричный код. После того, как в шестнадцатеричном коде это легко передать различными способами.

$td = mcrypt_module_open('tripledes', '', 'ecb', '');
$iv = mcrypt_create_iv (mcrypt_enc_get_iv_size($td), MCRYPT_RAND);
$key = substr("SUPERSECRETKEY",0,mcrypt_enc_get_key_size($td));
mcrypt_generic_init($td, $key, $iv);
$encrypted = mcrypt_generic($td, $unencrypted);
$encrypted = $ua."||||".$iv;
mcrypt_generic_deinit($td);
mcrypt_module_close($td);
$encrypted = base64_encode($encrypted);
$encrypted = array_shift(unpack('H*', $encrypted));

А с другой стороны:

$encrypted = pack('H*', $encrypted);
$encrypted = base64_decode($encrypted);
list($encrypted,$iv) = explode("||||",$encrypted,2);
$td = mcrypt_module_open('tripledes', '', 'ecb', '');
$key = substr("SUPERSECRETKEY",0,mcrypt_enc_get_key_size($td));
mcrypt_generic_init($td, $key, $iv);
$unencrypted = mdecrypt_generic($td, $encrypted);
mcrypt_generic_deinit($td);
mcrypt_module_close($td);

Answer 5

Я бы рекомендовал шифрование с открытым ключом, только если вы хотите установить пароль пользователя без его взаимодействия (это может быть удобно для сброса и общих паролей).

Открытый ключ

1. Расширение OpenSSL , в частности openssl_public_encrypt и openssl_private_decrypt
2. Это будет прямой RSA, если ваши пароли будут соответствовать размеру ключа - заполнению, в противном случае вам потребуется симметричный слой
3. Храните оба ключа для каждого пользователя, пароль личного ключа - пароль его приложения

Симметричный

1. Расширение Mcrypt
2. AES-256, вероятно, безопасная ставка, но это само по себе может быть SO вопросом
3. Вы этого не сделаете - это будет пароль их приложения

Оба

4.Да, пользователям придется каждый раз вводить пароль своего приложения, но сохранение его в сеансе вызовет другие проблемы

5.

• Если кто-то украдет данные приложения, этотакой же безопасный, как и симметричный шифр (для схемы с открытым ключом он используется для защиты закрытого ключа с помощью ключевой фразы.)
• Ваше приложение должно быть определенно доступно только по SSL, предпочтительно с использованием клиентских сертификатов.
• Рассмотрите возможность добавления второго фактора для аутентификации, который будет использоваться только один раз за сеанс, например токен, отправляемый через SMS.

Answer 6

Пароли предназначены для аппаратного устройства, поэтому о проверке хешей не может быть и речи

Э?Я не понимаюВы просто подразумеваете, что пароль должен быть восстанавливаемым?

Как уже говорили другие, расширение mcrypt предоставляет доступ ко многим криптографическим функциям - однако вы предлагаете своим пользователям положить все свои яйца в одну корзину - такую, которая будетпотенциально быть целью для злоумышленников - и если вы даже не знаете, как начать решать проблему, то вы оказываете своим пользователям медвежью услугу.Вы не в состоянии понять, как защитить данные.

Большинство уязвимостей безопасности возникают не потому, что лежащий в основе алгоритм ошибочен или небезопасен - но из-за проблем с тем, как алгоритм используется в коде приложения..

Сказав, что возможно построить достаточно безопасную систему.

Асимметричное шифрование следует рассматривать только в том случае, если у пользователя есть требование создатьзащищенное сообщение, которое может быть прочитано другим (определенным) пользователем.Причина в том, что его вычислительно дорого.Если вы просто хотите предоставить пользователям хранилище для ввода и извлечения их собственных данных, симметричное шифрование будет достаточным.

Если, однако, вы храните ключ для расшифровки сообщения в том же месте, что и зашифрованное сообщение (или где хранится зашифрованное сообщение), тогда система не защищена.Используйте тот же токен для аутентификации пользователя, что и для ключа дешифрования (или в случае асимметричного шифрования, используйте токен в качестве секретной фразы секретного ключа).Поскольку вам нужно будет сохранить токен на сервере, где дешифрование происходит, по крайней мере, временно, вы можете рассмотреть возможность использования субстрата хранения сеанса без возможности поиска или передачи токена непосредственно демону, связанному с сеансом, который будет хранитьтокен в памяти и выполнять расшифровку сообщений по требованию.

Answer 7

Я пробовал что-то подобное, но учтите, что я не криптограф и не обладаю глубокими знаниями о php или любом другом языке программирования. Это просто идея. Моя идея состоит в том, чтобы сохранить key в каком-то файле или database (или ввести вручную), который (местоположение) не может быть легко предсказан (и, конечно, когда-нибудь что-нибудь будет расшифровано, концепция заключается в том, чтобы удлинить время дешифрования) и зашифровать чувствительный информация.

$iv_size = mcrypt_get_iv_size(MCRYPT_BLOWFISH , MCRYPT_MODE_ECB);
$iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
$key = "evenifyouaccessmydatabaseyouwillneverfindmyemail";
$text = "myemail@domain.com";
echo "Key : ".$key."<br/>";
echo "Text : ".$text . "<br/>";
echo "Md5 : ".md5($text). "<br/>";
echo "Sha1 : ".sha1($text). "<br/>";



$crypttext = mcrypt_encrypt(MCRYPT_BLOWFISH , $key, $text, MCRYPT_MODE_ECB, $iv);
echo "Crypted Data : ".$crypttext."<br>";

$base64 = base64_encode($crypttext);
echo "Encoded Data : ".$base64."<br/>";
$decode =  base64_decode($base64);


$decryptdata = mcrypt_decrypt(MCRYPT_BLOWFISH , $key, $crypttext, MCRYPT_MODE_ECB, $iv);

echo "Decoded Data : ".ereg_replace("?", null ,  $decryptdata); 
//event if i add '?' to the sting to the text it works, I don't know why.

Обратите внимание, что это просто концепция. Любое улучшение в этом коде было бы весьма заметно.

Answer 8

Используйте password_hash и password_verify

<?php
/**
 * In this case, we want to increase the default cost for BCRYPT to 12.
 * Note that we also switched to BCRYPT, which will always be 60 characters.
 */
$options = [
    'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options)."\n";
?>

И для расшифровки:

<?php
// See the password_hash() example to see where this came from.
$hash = '$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq';

if (password_verify('rasmuslerdorf', $hash)) {
    echo 'Password is valid!';
} else {
    echo 'Invalid password.';
}
?>