1
인터넷에서 AES 암호화에 대해 연구하는 동안 다음 코드를 발견했습니다. 이 코드에서 key과 iv은 hash function을 사용하여 생성되었으며 sha256을 사용합니다. 이 방법이 PHP를 사용하여 텍스트 암호화에 안전한지 알고 싶습니다.AES 암호화 용 키 생성 보안
나는 아래와 같습니다 온라인으로 볼 코드,
<?php
function encrypt_decrypt($action, $string) {
$output = false;
$encrypt_method = "AES-256-CBC";
$secret_key = 'This is my secret key';
$secret_iv = 'This is my secret iv';
// hash
$key = hash('sha256', $secret_key);
// iv - encrypt method AES-256-CBC expects 16 bytes - else you will get a warning
$iv = substr(hash('sha256', $secret_iv), 0, 16);
if ($action == 'encrypt') {
$output = openssl_encrypt($string, $encrypt_method, $key, 0, $iv);
$output = base64_encode($output);
} else if($action == 'decrypt') {
$output = openssl_decrypt(base64_decode($string), $encrypt_method, $key, 0, $iv);
}
return $output;
}
$plain_txt = "This is my plain text";
echo "Plain Text =" .$plain_txt. "\n";
$encrypted_txt = encrypt_decrypt('encrypt', $plain_txt);
echo "Encrypted Text = " .$encrypted_txt. "\n";
$decrypted_txt = encrypt_decrypt('decrypt', $encrypted_txt);
echo "Decrypted Text =" .$decrypted_txt. "\n";
if ($plain_txt === $decrypted_txt) echo "SUCCESS";
else echo "FAILED";
echo "\n";
?>
코드를 약간 변경했습니다. 코드를 살펴보고 이것이 어떤 차이를 만들지 말해 줄 수 있습니까? 다음은 코드 https://codeshare.io/5wydZB –
No. 1에 대한 링크입니다. 'array_rand'를 사용하는 집에서 구현 한 CPRNG가 아닌 "CPRNG를 사용하십시오."라는 의사 랜덤 번호 생성기를 사용합니다 ** 암호화 목적으로 적합하지 않습니다. " 2. 문서에서 'crypt'는 반복하지 않으며 100ms를 요구하는 반복이 필요합니다. 3. IV가 암호 해독을 위해 전달되지 않은 것처럼 보입니다. 4. IMO가 가장 좋은 옵션은 [RNCryptor] (https://github.com/RNCryptor/RNCryptor-php)를 사용하는 것입니다. 바로 인증을 얻고, 버전을 지정하며 잘 검사됩니다. – zaph