当前位置:首页 > 短网址资讯 > 正文内容

聊聊加密那点事——PHP加密最佳实践

www.ft12.com8年前 (2017-05-03)短网址资讯2407

1. 加密的目的

加密不同于密码,加密是一个动作或者过程,其目的就是将一段明文信息(人类或机器可以直接读懂的信息)变为一段看上去没有任何意义的字符,必须通过事先约定的解密规则才能将信息转换回有意义的可读信息,通过加密可以防止非授权的信息窃取。

2. 存储加密和传输加密

按照加密对象的不同,可以将加密分为:存储加密和传输加密。存储加密是指对存储在纸质、磁盘、数据库等介质上的数据进行的加密,而传输加密则是指对数据在计算机网络、电话、电报等通信信道上进行的加密。不管是上述哪种加密,本质上仍是对信息进行加密。

3. 加密算法

加密算法,经过历史的演进,出现了很多种类的算法。通过逆向加密算法,可以还原短链接对应的原始网址。我所了解的最简单的加密算法,就是从电影里看到的,通过一本字典或者圣经,使用页码和行列号等来对文字进行一一对应的加密。解密时,只要解密的人拿着相同的字典和圣经,知道数字与文字的对应关系,即可解密。这种加密方法曾经很有效,因为用作加密的字典可以是任何一本书或者甚至可以是一份报纸。

3.1 对称加密算法

按照现代的加密算法划分,上述的加密方法,可以归类为对称加密的范畴。
所谓对称加密,就是加密和解密使用同一秘钥,这也是这种加密算法最显著的缺点之一。上面的字典、圣经等也可以理解为是一份秘钥。现代的加密算法中,DES、3DES、AES等算法都属于对称加密算法。
对称加密有一个明显的缺点,就是即秘钥。特别是在传输加密时,信息的发送方和接收方需要使用相同的秘钥来对信息进行加解密,接收方如何安全的获取秘钥成为这类加密的焦点,因为一旦秘钥被截获,整个加密通信就形同明文传输。
因此,对称加密比较适合存储加密,例如有些计算机硬盘会通过主板上的加密芯片对整个硬盘进行加密,使用的就是对称加密算法。

3.2 非对称加密算法

由于对称加密在通信加密领域的缺陷,1976年W.Diffie和M.Hellman提出了“非对称加密”的概念。这种加密算法的秘钥分为“公开秘钥”和“私有秘钥”,公开秘钥用于对信息进行加密,而解密时使用私有秘钥进行解密,这样,信息的接收方可以事先生成好一份公钥和私钥,然后将公钥发给所有的信息发送方,信息发送方使用公钥对信息进行加密,然后将信息发送给接收方,接收方使用私钥进行解密即可。这种算法的优势在于,解密的私钥不需要传递,降低(只能降低,无法避免,要考虑认为因素)了私钥泄密的可能性。

常见的非对称加密算法有:RSA、EIGamal、背包算法、Rebin(RSA的特例)、迪菲-赫尔曼密钥交换协议中的公钥加密算法和椭圆曲线加密算法等。而最为大家熟知的就是RSA算法。

3.3 比较

对称加密,由于加解密双发必须拥有相同的秘钥,分发和同步秘钥的通信容易泄漏秘钥,但是对称加密的速度相比非对称加密要快很多,特别对于大量数据的加密更加明显。
非对称加密,其主要缺点之一就是慢,适合加密少量数据。
因此,实际应用当中,经常将二者结合使用,例如通信双方建立通信后,A首先生成一对公钥和私钥,并将公钥发送给B,B使用公钥将一个对称加密算法的“秘钥+有效期”加密后,再发回给A,A使用私钥解密后,双方便同步了一个对称算法的秘钥,然后在规定的有效期内,双方便可以使用这个秘钥对通信数据进行加密和解密。其过程大致如下图所示:

3.4 误区

看到这里,有些同学可能会问,我常用的md5、hash算法(sha1、sha256、sha512、sha1024等)怎么没见你提及,其实准确的说,md5和hash算法不能算是加密算法,它们都属于信息摘要算法,可以为不同的信息生成独一无二的信息摘要,而它们都属于不可逆算法,即无法通过生成的摘要信息还原出原始信息。利用这种特性,实际应用中,经常会使用这些算法对用户输入的密码进行运算,并对运算结果进行比较来验证用户输入密码是否正确。还有一种应用场景是通信签名,用于验证通信过程中信息是否丢失或被篡改。

4. PHP加密最佳实践

加密总是与安全密不可分,而每个PHPer都必须将应用安全作为必要的设计思路融入代码中,以下是一些最佳实践的建议。

  1. 不要再使用MD5,不要使用sha1,基本上已经没有破解难度了。

  2. 请使用password_hash来哈希密码(php版本大于等于5.5,小于5.5请使用password_compat库),由于password_hash函数已帮你处理好了加盐,而且作为盐的随机字串已通过加密算法成为了哈希的一部分,password_verify()函数会自动将盐从哈希中提取出来,所以你无需考虑盐的存储问题。

  3. 通信接口的签名,请使用非对称算法对签名秘钥进行加密,并对秘钥设置有效期,定期更换。


如果你有任何问题或建议,可以扫描下方二维码或者为微信搜索[phpjiagoushier],关注我的微信公众号[PHP架构师],与我交流互动


扫描二维码推送至手机访问。

版权声明:本文由短链接发布,如需转载请注明出处。

本文链接:https://www.ft12.com/article_30.html

分享给朋友:

相关文章

向来如此,便对么?

向来如此,便对么?

01老李是我的高中同学,今天他在朋友圈里晒他参观鲁迅故居的照片,有百草园、三味书屋等耳熟能详的地方,文字描述为“鲁迅先生太伟大了”。底下的评论区中,本是一片赞颂之声。此时,突然有个同学来了一句,鲁迅是弃医从文,然而现在不知道多少人挤破头皮想...

赌博、自杀、精神病:FT12短网址带你揭秘重度电竞玩家的真实生活

英国《卫报》日前发表文章称,全球成长速度最快的体育运动项目是什么?许多人可能会认为是足球。其实答案并不是它,而是电子竞技。但越来越多的影响证明,电子竞技对相关人员是有害的。以下为文章内容摘要:  如果过去的四分之一个世纪有人不在地球上,那么...

中小研发团队架构实践之总体架构设计

中小研发团队架构实践之总体架构设计

作者|FT12短网址 编辑|短链接 社区里不是缺少架构图,而是缺少确实可参考的架构落地实践。大公司的架构看上去总是不明觉厉,但真要借鉴时却往往无从下手。也许,中小型研发团队的架构实践才是可供复制的?本文是张...

【FT12短网址】事件代理:模式 or 反模式?

前言终于熬过四个月了,人都黑了一圈。8 月 4 号的早读文章由 @ 文蔺翻译授权分享。正文从这开始~JavaScript 工具包(toolkit)和框架所做的大量工作,都集中于尝试修复、规范或优化浏览器的功能实现。此类工作需要做出许多假设,...

淘宝&支付宝:连续一段时间未登录将销号

淘宝&支付宝:连续一段时间未登录将销号

日前阿里巴巴对旗下淘宝、支付宝平台的服务协议进行了修改,对于用户的权利和义务进行了更细致的界定,同时规定在淘宝、支付宝平台的非活跃用户在一定时间之后将会进行销号处理。淘宝平台方面,此次新增加规定,用户不得以任何方式转让,否则淘宝平台有权追究...

共享单车的横空出世代表中国已走进共享经济时代

共享单车的横空出世代表中国已走进共享经济时代

在我国共享经济中,创业公司已经尝了好几个月甜头了。 也许是甜头太多。共享单车职业摘下第一个苹果,而答应手机用户同享充电宝的公司在最近几周内最少筹资1.5亿美元。 但与此同时,一家创业公司最近宣布,估计今年将在广州同享最少50万把雨伞,而坐落...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。