加密、解密和签名、验签
2020-03-02 本文已影响0人
GEORGE_TIGER
1、前言
PHP加密方式分为单项散列加密,对称加密,非对称加密这几类。
像常用的MD5、hash、crypt、sha1这种就是单项散列加密,单项散列加密是不可逆的。
像URL编码、base64编码这种就是对称加密,是可逆的,就是说加密解密都是用的同一秘钥,常见的对称加密算法有:DES、3DES、AES等。
除此外就是非对称加密,加密和解密的秘钥不是同一个,如果从安全性而言,加密的信息如果还想着再解密回来,非对称加密无疑是最为安全的方式。
2、单项散列加密
(一)、md5
string md5 ( string str[,boolraw_output = false ] )
1.md5()默认情况下以 32 字符十六进制数字形式返回散列值,它接受两个参数,第一个为要加密的字符串,第二个为raw_output的布尔值,默认为false,如果设置为true,md5()则会返回原始的 16 位二进制格式报文摘要
2.md5()为单向加密,没有逆向解密算法,但是还是可以对一些常见的字符串通过收集,枚举,碰撞等方法破解
(二)、Crypt
string crypt ( string str[,stringsalt ] )
1.crypt()接受两个参数,第一个为需要加密的字符串,第二个为盐值(就是加密干扰值,如果没有提供,则默认由PHP自动生成【盐值只能取两位】);返回散列后的字符串或一个少于 13 字符的字符串,后者为了区别盐值。
2.crypt()为单向加密,跟md5一样。
(三)、sha1
string sha1 ( string str[,boolraw_output = false ]
1.跟md5很像,不同的是sha1()默认情况下返回40个字符的散列值,传入参数性质一样,第一个为加密的字符串,第二个为raw_output的布尔值,默认为false,如果设置为true,sha1()则会返回原始的20 位原始格式报文摘要
2.sha1()也是单向加密,没有逆向解密算法
(四)、hash
string hash(data);
1、data是要加密的数据hash加密也是不可逆的,因为是给定一个不确定的字符串返回特定长度的字符串,这个本质意义上来说实现了单项散列加密。
3、非对称加密
使用PHP实现RSA算法的加密和解密
本文提供使用RSA算法加密解密数据的PHP程序类,封装了格式化公钥和私钥文件的方法,这样无论使用什么格式的公钥或者私钥都可以正常运行,公钥加密后使用私钥解密或者私钥加密后用公钥解密都可以实现。下面是代码:
class RSA{
private $public_key_resource = ''; //公钥资源
private $private_key_resource = ''; //私钥资源
/**
* 构造函数
* @param [string] $public_key [公钥数据字符串]
* @param [string] $private_key [私钥数据字符串]
*/
public function __construct($public_key,$private_key) {
$this->public_key_resource = !empty($public_key) ? openssl_pkey_get_public($this->get_public_key($public_key)) : false;
$this->private_key_resource = !empty($private_key) ? openssl_pkey_get_private($this->get_private_key($private_key)) : false;
}
/**
获取私有key字符串 重新格式化 为保证任何key都可以识别
*/
public function get_private_key($private_key){
$search = [
"-----BEGIN RSA PRIVATE KEY-----",
"-----END RSA PRIVATE KEY-----",
"\n",
"\r",
"\r\n"
];
$private_key=str_replace($search,"",$private_key);
return $search[0] . PHP_EOL . wordwrap($private_key, 64, "\n", true) . PHP_EOL . $search[1];
}
/**
获取公共key字符串 重新格式化 为保证任何key都可以识别
*/
public function get_public_key($public_key){
$search = [
"-----BEGIN PUBLIC KEY-----",
"-----END PUBLIC KEY-----",
"\n",
"\r",
"\r\n"
];
$public_key=str_replace($search,"",$public_key);
return $search[0] . PHP_EOL . wordwrap($public_key, 64, "\n", true) . PHP_EOL . $search[1];
}
/**
* 生成一对公私钥 成功返回 公私钥数组 失败 返回 false
*/
public function create_key() {
$res = openssl_pkey_new();
if($res == false) return false;
openssl_pkey_export($res, $private_key);
$public_key = openssl_pkey_get_details($res);
return array('public_key'=>$public_key["key"],'private_key'=>$private_key);
}
/**
* 用私钥加密
*/
public function private_encrypt($input) {
openssl_private_encrypt($input,$output,$this->private_key_resource);
return base64_encode($output);
}
/**
* 解密 私钥加密后的密文
*/
public function public_decrypt($input) {
openssl_public_decrypt(base64_decode($input),$output,$this->public_key_resource);
return $output;
}
/**
* 用公钥加密
*/
public function public_encrypt($input) {
openssl_public_encrypt($input,$output,$this->public_key_resource,OPENSSL_PKCS1_OAEP_PADDING);
return base64_encode($output);
}
/**
* 解密 公钥加密后的密文
*/
public function private_decrypt($input) {
openssl_private_decrypt(base64_decode($input),$output,$this->private_key_resource,OPENSSL_PKCS1_OAEP_PADDING);
return $output;
}
}
$rsa = new RSA(file_get_contents('public.txt'),file_get_contents('private.txt'));
//
$str = '这里是待加密的数据';
echo '<hr>公钥加密私钥解密如下:<hr>';
echo '原始数据:',$str,'<br>';
$tmpstr = $rsa->public_encrypt($str); //用公钥加密
echo '加密后的数据:' . $tmpstr,'</br>';
$tmpstr = $rsa->private_decrypt($tmpstr); //用私钥解密
echo '解密结果:' . $tmpstr,'<hr>私钥加密公钥解密如下:<hr>';
////=============================================================
echo '原始数据:',$str,'<br>';
$tmpstr = $rsa->private_encrypt($str); //用私钥加密
echo '加密后的数据' . $tmpstr,'</br>';
$tmpstr = $rsa->public_decrypt($tmpstr); //用公密解密
echo '解密结果:' . $tmpstr,'</br>';
使用PHP实现RSA或RSA2算法的签名和验签
使用RSA算法除了加密解密之外,在支付等接口方面通常还会用到生成签名和验证签名操作,下面是PHP代码:
class RSA
{
/**
* RSA签名
* @param $data 待签名数据
* @param $private_key 私钥字符串
* return 签名结果
*/
function rsaSign($data, $private_key,$sign_type='OPENSSL_ALGO_SHA1') {
$search = [
"-----BEGIN RSA PRIVATE KEY-----",
"-----END RSA PRIVATE KEY-----",
"\n",
"\r",
"\r\n"
];
$private_key=str_replace($search,"",$private_key);
$private_key=$search[0] . PHP_EOL . wordwrap($private_key, 64, "\n", true) . PHP_EOL . $search[1];
$res=openssl_get_privatekey($private_key);
if($res)
{
openssl_sign($data, $sign,$res,$sign_type);
openssl_free_key($res);
}else {
exit("私钥格式有误");
}
$sign = base64_encode($sign);
return $sign;
}
/**
* RSA验签
* @param $data 待签名数据
* @param $public_key 公钥字符串
* @param $sign 要校对的的签名结果
* return 验证结果
*/
function rsaCheck($data, $public_key, $sign,$sign_type='OPENSSL_ALGO_SHA1') {
$search = [
"-----BEGIN PUBLIC KEY-----",
"-----END PUBLIC KEY-----",
"\n",
"\r",
"\r\n"
];
$public_key=str_replace($search,"",$public_key);
$public_key=$search[0] . PHP_EOL . wordwrap($public_key, 64, "\n", true) . PHP_EOL . $search[1];
$res=openssl_get_publickey($public_key);
if($res)
{
$result = (bool)openssl_verify($data, base64_decode($sign), $res);
openssl_free_key($res);
}else{
exit("公钥格式有误!");
}
return $result;
}
}
$str = '11223344';
echo '待签名的数据是' . $str . '<hr>';
$obj = new RSA();
//
$sign = $obj->rsaSign($str,file_get_contents('./private.txt'));
echo '签名后的数据是' . $sign . '<hr>';
if($obj->rsaCheck($str,file_get_contents('./public.txt'),$sign)){
echo '验证成功';
}else{
echo '验证失败';
}
默认签名方式为RSA(OPENSSL_ALGO_SHA1)如果使用RSA2也比较简单只需要在调用签名和验签的方法里面多增加最后一个参数为OPENSSL_ALGO_SHA256就可以了,增加参数后执行的对应方法内的代码如下:
//签名 RSA2
openssl_sign($data, $sign,$res,OPENSSL_ALGO_SHA256);
//验签 RSA2
openssl_verify($data, base64_decode($sign), $res,OPENSSL_ALGO_SHA256);
4、对称加密
PHP对称加密算法(DES/AES)类,使用php的encrypt扩展实现
<?php
/**
* 常用对称加密算法类
* 支持密钥:64/128/256 bit(字节长度8/16/32)
* 支持算法:DES/AES(根据密钥长度自动匹配使用:DES:64bit AES:128/256bit)
* 支持模式:CBC/ECB/OFB/CFB
* 密文编码:base64字符串/十六进制字符串/二进制字符串流
* 填充方式: PKCS5Padding(DES)
*
* @author: linvo
* @version: 1.0.0
* @date: 2013/1/10
*/
class Xcrypt{
private $mcrypt;
private $key;
private $mode;
private $iv;
private $blocksize;
/**
* 构造函数
*
* @param string 密钥
* @param string 模式
* @param string 向量("off":不使用 / "auto":自动 / 其他:指定值,长度同密钥)
*/
public function __construct($key, $mode = 'cbc', $iv = "off"){
switch (strlen($key)){
case 8:
$this->mcrypt = MCRYPT_DES;
break;
case 16:
$this->mcrypt = MCRYPT_RIJNDAEL_128;
break;
case 32:
$this->mcrypt = MCRYPT_RIJNDAEL_256;
break;
default:
die("Key size must be 8/16/32");
}
$this->key = $key;
switch (strtolower($mode)){
case 'ofb':
$this->mode = MCRYPT_MODE_OFB;
if ($iv == 'off') die('OFB must give a IV'); //OFB必须有向量
break;
case 'cfb':
$this->mode = MCRYPT_MODE_CFB;
if ($iv == 'off') die('CFB must give a IV'); //CFB必须有向量
break;
case 'ecb':
$this->mode = MCRYPT_MODE_ECB;
$iv = 'off'; //ECB不需要向量
break;
case 'cbc':
default:
$this->mode = MCRYPT_MODE_CBC;
}
switch (strtolower($iv)){
case "off":
$this->iv = null;
break;
case "auto":
$source = PHP_OS=='WINNT' ? MCRYPT_RAND : MCRYPT_DEV_RANDOM;
$this->iv = mcrypt_create_iv(mcrypt_get_block_size($this->mcrypt, $this->mode), $source);
break;
default:
$this->iv = $iv;
}
}
/**
* 获取向量值
* @param string 向量值编码(base64/hex/bin)
* @return string 向量值
*/
public function getIV($code = 'base64'){
switch ($code){
case 'base64':
$ret = base64_encode($this->iv);
break;
case 'hex':
$ret = bin2hex($this->iv);
break;
case 'bin':
default:
$ret = $this->iv;
}
return $ret;
}
/**
* 加密
* @param string 明文
* @param string 密文编码(base64/hex/bin)
* @return string 密文
*/
public function encrypt($str, $code = 'base64'){
if ($this->mcrypt == MCRYPT_DES) $str = $this->_pkcs5Pad($str);
if (isset($this->iv)) {
$result = mcrypt_encrypt($this->mcrypt, $this->key, $str, $this->mode, $this->iv);
} else {
@$result = mcrypt_encrypt($this->mcrypt, $this->key, $str, $this->mode);
}
switch ($code){
case 'base64':
$ret = base64_encode($result);
break;
case 'hex':
$ret = bin2hex($result);
break;
case 'bin':
default:
$ret = $result;
}
return $ret;
}
/**
* 解密
* @param string 密文
* @param string 密文编码(base64/hex/bin)
* @return string 明文
*/
public function decrypt($str, $code = "base64"){
$ret = false;
switch ($code){
case 'base64':
$str = base64_decode($str);
break;
case 'hex':
$str = $this->_hex2bin($str);
break;
case 'bin':
default:
}
if ($str !== false){
if (isset($this->iv)) {
$ret = mcrypt_decrypt($this->mcrypt, $this->key, $str, $this->mode, $this->iv);
} else {
@$ret = mcrypt_decrypt($this->mcrypt, $this->key, $str, $this->mode);
}
if ($this->mcrypt == MCRYPT_DES) $ret = $this->_pkcs5Unpad($ret);
}
return $ret;
}
private function _pkcs5Pad($text){
$this->blocksize = mcrypt_get_block_size($this->mcrypt, $this->mode);
$pad = $this->blocksize - (strlen($text) % $this->blocksize);
return $text . str_repeat(chr($pad), $pad);
}
private function _pkcs5Unpad($text){
$pad = ord($text{strlen($text) - 1});
if ($pad > strlen($text)) return false;
if (strspn($text, chr($pad), strlen($text) - $pad) != $pad) return false;
$ret = substr($text, 0, -1 * $pad);
return $ret;
}
private function _hex2bin($hex = false){
$ret = $hex !== false && preg_match('/^[0-9a-fA-F]+$/i', $hex) ? pack("H*", $hex) : false;
return $ret;
}
}
//使用实例
header('Content-Type:text/html;Charset=utf-8;');
include "xcrypt.php";
echo '<pre>';
//////////////////////////////////////
$a = isset($_GET['a']) ? $_GET['a'] : '测试123';
//密钥
$key = '12345678123456781234567812345678'; //256 bit
$key = '1234567812345678'; //128 bit
$key = '12345678'; //64 bit
//设置模式和IV
$m = new Xcrypt($key, 'cbc', 'auto');
//获取向量值
echo '向量:';
var_dump($m->getIV());
//加密
$b = $m->encrypt($a, 'base64');
//解密
$c = $m->decrypt($b, 'base64');
echo '加密后:';
var_dump($b);
echo '解密后:';
var_dump($c);
/////////////////////////////////////////
echo '</pre>';
本代码用了更通用的 OPENSSL 方式实现 DES 的加解密,具体的实现和使用代码如下:
<?php
/**
* openssl 实现的 DES 加密类,支持各种 PHP 版本
*/
class DES
{
/**
* @var string $method 加解密方法,可通过 openssl_get_cipher_methods() 获得
*/
protected $method;
/**
* @var string $key 加解密的密钥
*/
protected $key;
/**
* @var string $output 输出格式 无、base64、hex
*/
protected $output;
/**
* @var string $iv 加解密的向量
*/
protected $iv;
/**
* @var string $options
*/
protected $options;
// output 的类型
const OUTPUT_NULL = '';
const OUTPUT_BASE64 = 'base64';
const OUTPUT_HEX = 'hex';
/**
* DES constructor.
* @param string $key
* @param string $method
* ECB DES-ECB、DES-EDE3 (为 ECB 模式时,$iv 为空即可)
* CBC DES-CBC、DES-EDE3-CBC、DESX-CBC
* CFB DES-CFB8、DES-EDE3-CFB8
* CTR
* OFB
*
* @param string $output
* base64、hex
*
* @param string $iv
* @param int $options
*/
public function __construct($key, $method = 'DES-ECB', $output = '', $iv = '', $options = OPENSSL_RAW_DATA | OPENSSL_NO_PADDING)
{
$this->key = $key;
$this->method = $method;
$this->output = $output;
$this->iv = $iv;
$this->options = $options;
}
/**
* 加密
*
* @param $str
* @return string
*/
public function encrypt($str)
{
$str = $this->pkcsPadding($str, 8);
$sign = openssl_encrypt($str, $this->method, $this->key, $this->options, $this->iv);
if ($this->output == self::OUTPUT_BASE64) {
$sign = base64_encode($sign);
} else if ($this->output == self::OUTPUT_HEX) {
$sign = bin2hex($sign);
}
return $sign;
}
/**
* 解密
*
* @param $encrypted
* @return string
*/
public function decrypt($encrypted)
{
if ($this->output == self::OUTPUT_BASE64) {
$encrypted = base64_decode($encrypted);
} else if ($this->output == self::OUTPUT_HEX) {
$encrypted = hex2bin($encrypted);
}
$sign = @openssl_decrypt($encrypted, $this->method, $this->key, $this->options, $this->iv);
$sign = $this->unPkcsPadding($sign);
$sign = rtrim($sign);
return $sign;
}
/**
* 填充
*
* @param $str
* @param $blocksize
* @return string
*/
private function pkcsPadding($str, $blocksize)
{
$pad = $blocksize - (strlen($str) % $blocksize);
return $str . str_repeat(chr($pad), $pad);
}
/**
* 去填充
*
* @param $str
* @return string
*/
private function unPkcsPadding($str)
{
$pad = ord($str{strlen($str) - 1});
if ($pad > strlen($str)) {
return false;
}
return substr($str, 0, -1 * $pad);
}
}
$key = 'key123456';
$iv = 'iv123456';
// DES CBC 加解密
$des = new DES($key, 'DES-CBC', DES::OUTPUT_BASE64, $iv);
echo $base64Sign = $des->encrypt('Hello DES CBC');
echo "\n";
echo $des->decrypt($base64Sign);
echo "\n";
// DES ECB 加解密
$des = new DES($key, 'DES-ECB', DES::OUTPUT_HEX);
echo $base64Sign = $des->encrypt('Hello DES ECB');
echo "\n";
echo $des->decrypt($base64Sign);
另:
可逆转的加密为:base64_encode()、urlencode() 相对应的解密函数:base64_decode() 、urldecode()
base64_encode() 将字符串以 MIME BASE64 编码。此编码方式可以让中文字或者图片也能在网络上顺利传输。语法为string base64_encode(string data); 它的解密函数为:string base64_decode(string encoded_data); 将复回原样。
urlencode() 将字符串以 URL 编码。例如空格就会变成加号。语法为:string urlencode(string str);
它的解密函数为:string urldecode(string str); 将复回原样
