👩🏿‍💻 💃🏼 🤸🏾 PHPデータ暗号化ガイド 🗾 🙈 🚶🏿

翻訳者から：プログラミングの過程で、私は暗号技術が危険なほど無能であることを決して忘れません。そして、この論文から先に進むことを皆に勧めます（まあ、あなた以外にもそのタフな男がいるかもしれません）。 ただし、何らかの方法で、作業の過程でデータ保護に関連するタスクがあり、それらに対処する必要があります。 したがって、フィンランドの開発者Timo Hによる記事の翻訳に注目します。

重要な更新 ：コメントで、SamDarkはMcryptライブラリが長い間サポートされておらず、多くの欠点があると述べたため、OpenSSLを使用することをお勧めします。 既存のコードを書き直したい場合は、この記事が役立ちます。 さらに、 PHP7でMcryptを削除できるという証拠があります。

これは、PHPで一般的な対称暗号化エラーを回避する方法に関する短いガイドです。

サーバー側でデータが処理される場合（特に、サーバーで暗号化が行われ、プレーンテキストやパスワードなどの形式でクライアントからデータを受信できる場合）を考慮します。これは、PHPアプリケーションの典型的な場合です。。

このガイドの情報を使用して、より複雑な要件を持つ暗号化されたネットワーク接続を作成しないでください。そのような場合は、 spipedまたはTLSを使用する必要があります。

当然、ここで与えられる推奨事項は、PHPで暗号化を整理するための「唯一の可能な方法」ではありません。このガイドの目的は、エラーや複雑で曖昧な決定の余地を少なくすることです。

PHP暗号化関数

McryptまたはOpenSSL拡張機能を使用します。

暗号化アルゴリズムとその動作モード、ワンタイムコード（初期化ベクトル）

ランダムな1回限りのコード（ 約Transl。：nonce ）でCTRモードでAES-256を使用します。 AESは標準であるため、McryptまたはOpenSSLの任意の拡張機能を使用できます。

常に新しいワンタイムコードを生成します。その際、暗号の強力な乱数ソースを使用する必要があります。乱数生成の詳細については、以下をご覧ください。ワンタイムコードは秘密ではなく、送信とその後の復号化のために暗号文と連結できます。

ワンタイムコードは、128ビット（16バイト）の長さで、エンコードされていないバイトの文字列である必要があります。

Mcrypt拡張機能では、AESはRijndael-128として知られています（ perevに注意してください。AES-256について話しているという事実にもかかわらず、これはエラーではありません。AES-256！= Rijndael-256 ）。 OpenSSLでは、それぞれAES-256-CTR。

Mcryptの使用例：

<?php // $key length must be exactly 256 bits (32 bytes). // $nonce length must be exactly 128 bits (16 bytes). $ciphertext = mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $plaintext, 'ctr', $nonce); // Mcrypt

OpenSSLの使用例：

 <?php // $key length must be exactly 256 bits (32 bytes). // $nonce length must be exactly 128 bits (16 bytes). $ciphertext = openssl_encrypt($plaintext, 'AES-256-CTR', $key, true, $nonce); // OpenSSL

テストベクターを使用して暗号化が正しく機能することを確認します（ AES-256-CTRについてはTransl。：約57ページのF.5.5項を参照 ）。

CTRモードの場合、暗号化されたデータの合計量にはいくつかの制限があります。実際にはこれに遭遇しないかもしれませんが、1つの長いメッセージであるか、多くの短いメッセージであるかに関係なく、1つのキーで2 ^ 64バイトを超えるデータを暗号化しないでください。

CTRモードは、同じキーで同じワンタイムコードを使用しない場合にのみ持続します。このため、暗号的に強力なランダム性のソースを使用してワンタイムコードを生成することが重要です。さらに、これは、1つのキーで2 ^ 64を超えるメッセージを暗号化しないことを意味します。ワンタイムコードの長さは128ビットであるため、誕生日のパラドックスのために、メッセージ（および対応するワンタイムコード）2 ^ 128/2の数を制限することが重要です（ 注：パラドックスについての詳細 ）。

また、暗号化では、送信するデータ量を隠すことはできません。極端な場合の例として、「はい」または「いいえ」のみを含むメッセージを暗号化する場合、明らかに、暗号化はこの情報を隠しません。

データ認証

データの信頼性と整合性を常に確認してください。

これを行うには、暗号化後にMACを使用します。つまり最初にデータが暗号化され、次に暗号文自体とワンタイムコードを含むHMAC-SHA-256が受信した暗号文から取得されます。

復号化するときは、最初に時間攻撃に耐える比較アルゴリズムを使用してHMACを確認します。 ==または===比較演算子を使用して、$ user_submitted_macと$ calculated_macを直接比較しないでください。「ダブルHMACチェック」を使用することはさらに良いことです。

HMACチェックが成功した場合、安全に復号化できます。 HMACが適切でない場合は、すぐにシャットダウンします。

暗号化および認証キー

理想的には、暗号的に安全なランダム性のソースから取得したキーを使用します。 AES-256には32バイトのランダムデータが必要です（生の文字列はエンコードを使用しないビットのシーケンスです）。

キーに依存する場合（ Re .:ユーザーが入力したキー、「パスワード」と呼びます ）、ユーザーが入力した、または構成で指定した場合、暗号化キーとして使用する前に変換する必要があります。 PBKDF2を使用して、パスワードを暗号化キーに変換します。詳細http://php.net/hash_pbkdf2

アプリケーションがPBKDF2の組み込み実装がない5.5より前のPHPバージョンで実行されている場合は、PHPで独自の実装を使用する必要があります。その例はhttps://defuse.ca/php-pbkdf2.htmにあります。独自の実装に依存しているため、hash_pbkdf2（）組み込み関数が行うように、キーを適切に変換できない可能性があることに注意してください。

暗号化と認証に同じキーを使用しないでください。上記のように、暗号化キーごとに32バイトと認証キー（HMAC）ごとに32バイトが必要です。 PBKDF2を使用すると、パスワードから64バイトを取得し、たとえば最初の32バイトを暗号化キーとして使用し、残りの32バイトを認証キーとして使用できます。

たとえば、パスワードが16進文字列としてファイルに保存されている場合、暗号化機能を「フィード」する前にパスワードを再エンコードしないでください。代わりに、PBKDF2を使用して、キーをHEXエンコーディングから直接高品質の暗号化キーまたは認証キーに変換します。または、追加のエンコード（32バイト文字列のみ）なしで出力でSHA-256を使用して、パスワードをハッシュします。通常のパスワードハッシュを使用すると、十分なエントロピーが得られます。詳細については、次の段落で説明します。

キー捻rain

まず、低エントロピーキーを避ける必要があります。それでも、たとえばユーザーパスワードを使用する必要がある場合は、キーのセキュリティを最大限に高めるために、間違いなくPBKDF2を多数の反復で使用する必要があります。

PBKDF2のパラメーターの1つは、ハッシュ反復の数です。そして、それが高ければ高いほど、鍵のセキュリティはより大きく期待できます。コードが64ビットプラットフォームで実行される場合、PBKDF2のハッシュアルゴリズムとしてSHA-512を使用します。 32ビットプラットフォームの場合、SHA-256を使用します。

ただし、DoS攻撃のリスクがあるため、オンラインアプリケーションで比較的多数の反復を使用することはできません。したがって、キーの品質はオフラインアプリケーションほど高くなく、そのようなリスクなしに多数の反復を行うことができます。原則として、オンラインアプリケーションの場合、PBKDF2が100ミリ秒以内に機能するように、このような数のハッシュ反復が選択されます。

エントロピーの高いパスワードを使用できる場合、エントロピーの低いパスワードの場合のように「ストレッチング」を実行する必要はありません。たとえば、/ dev / urandomを使用して「暗号化master_key」と「authentication_ master_key」を作成する場合、PBKDF2はまったく不要です。エンコーディングを使用せずに、キーをビットシーケンスとして使用してください。

さらに、PBKDF2を使用すると、1つのマスターパスワードから暗号化と認証の両方のキーを簡単に取得できます（わずかな反復または1つの反復を使用するだけです）。これは、暗号化と認証の両方に使用される「マスターパスワード」が1つしかない場合に便利です。

鍵の保管と管理

最善の方法は、個別の専用キーストレージデバイス（ HSM ）を使用することです。

これが不可能な場合、攻撃を複雑にするために、別の場所（ホームディレクトリまたはサイトルートの外部）に保存されたキーを使用して、キーまたは構成ファイル（実際の暗号化/認証キーが保存されている）でファイルの暗号化を使用できます。たとえば、httpd.confのApache環境変数を使用して、実際のキーでファイルを復号化するために必要なキーを保存できます。

 <VirtualHost *:80> SetEnv keyfile_key crypto_strong_high_entropy_key # You can access this variable in PHP using $_SERVER['keyfile_key'] # Rest of the config </VirtualHost>

現在、サイトのルート以下のファイル（キー付きファイルを含む）が侵害された場合（たとえば、バックアップが漏洩した場合）、環境変数に保存されているキーが侵害されていないため、暗号化されたデータは安全なままです。 httpd.confファイルは個別にバックアップする必要があり、たとえばphpinfo（）の出力を介してkeyfile_key変数を侵害しないことを覚えておくことが重要です。

構成パラメーターの代わりにファイルを使用する場合、キーのローテーションを整理することができます。最悪の場合、攻撃者が暗号化キーと認証キーを取得し、この事実に気付かなかった場合、一定の周期でキーをローテーションするとアクセスが制限される可能性があります（新しいキーを取得できない場合）。敵は侵害されたキーを無期限に使用することができないため、この手法は損害を軽減するのに役立ちます。

データ圧縮

一般に、暗号化の前にソースコードを圧縮しないでください。これにより、攻撃者は分析のための追加のツールを提供できます。

たとえば、セッションデータを暗号化されたCookieに保存し、このデータの一部はユーザーによって提供され、一部は秘密情報を提供する場合、攻撃者は通常のユーザーとして生成されたデータを送信し、受信した暗号文の長さがどのように変化するかを測定することで、秘密に関する追加情報を見つけることができます。

重複するセクションがある場合、テキストはより効率的に圧縮されます。ユーザーデータを操作することにより、ユーザーが秘密データと部分的に一致するように選択できます。一致が大きいほど、暗号文は小さくなります。このタイプの攻撃はCRIMEと呼ばれます。

データを圧縮する必要がある場合を除き、圧縮しないでください。

サーバー環境

原則として、セキュリティの影響を受けやすいアプリケーションを共有サーバーに配置しないでください。たとえば、共有ホスティングでは、攻撃者があなたと同じ物理サーバー上の仮想マシンにアクセスできます。

共有サーバーを、セキュリティが重要なアプリケーションをホストするための疑わしい場所にするさまざまな理由があります。たとえば、仮想サーバー間の攻撃が最近実証されています： eprint.iacr.org/2014/248.pdf 。これは、攻撃手法が低下するのではなく、時間とともに改善され改善されることを思い出させてくれます。このような落とし穴を常に考慮する必要があります。

専門家の相談

最後になりましたが、専門家に相談して、セキュリティコードを確認してもらいます。

@ rootlabs 、2014年6月5日：

@plo @veorq私は1997年から暗号化に取り組んでおり、これまでのところ、私の決定と実装はすべて第三者によってレビューされています。

暗号的に強力な乱数

OSが提供する乱数ソースを使用します。 PHPでは、たとえば、mcrypt_create_iv（$カウント、MCRYPT_DEV_URANDOM）または/ dev / urandomから直接読み取ります。

ソースから正しいバイト数が受信されたことを常に確認してください。そうでない場合は、自分で作成した擬似ランダムアルゴリズムを使用して、そのような間違いを自分で修正しようとしないでください。

PHPデータ暗号化ガイド