如何签署 PHP 源代码

Question

我想分发一些 PHP 源代码， 我需要提供一种方法来验证这些源代码是否未被更改。

所以基本上我想给他们签名（如果可能的话，使用 PHP）然后检查他们的签名（使用 PHP 是强制性的，它必须在 linux 和 windows 上都可以工作）。

我一直在挖掘，我发现的是：

• 签名：
  • 您可以使用PharData 创建一个 zip 存档
  • 您可以使用openssl 创建pub/priv。
  • 您可以使用Phar::setSignatureAlgorithm 对 PharData 进行签名
  • 您似乎必须将公钥放在存档旁边（source（阅读步骤 3））： 公钥必须与 Phar 文件同名，并添加 .pubkey，并且必须与 Phar 位于同一目录中。
• 验证：
  • 没找到，估计PharData::extractTo就够了

如果有人可以验证这个过程（或指出更好的过程），那将是一个很大的帮助。

因为我试图给出我从现在找到的理论解决方案，但是在理论和实践之间，它们应该是一个差距。特别是考虑到我是这个概念的新手，并且我的项目在安全方面扎实是最重要的。 我提醒一下，几年前使用苹果的签名过程是一件很痛苦的事情，我对自己创建安全解决方案的能力没有信心。

Answer 1

关于已签名的 phar 文件，我上次检查时，默认行为是：

• 如果签名有效，从phar检索文件（如果是php则执行）
• 如果签名无效，则抛出错误
• 如果没有签名，从phar检索文件（如果是php则执行）

因此，只需剥离签名即可轻松绕过签名保护（实际上，您只需将文件标记为未签名）。您可以显式设置 phar.require_hash 选项，以删除实例中的此后门。

验证这些源代码没有被更改

嗯嗯。这有点模糊。由谁修改？如上所述，您需要客户端选择加入基于 phar 签名的安全模型。

有很多第三方 PHP 编码器通过混淆代码来工作。几乎所有这些都提供了可笑的保护水平。一些例外是 IonCube 编码器和 Zend 的编码器。我对这些不太熟悉，无法说出它们有多强大以及它们是否符合您的要求。

有几个开源 PHP 编译器可以将 PHP 源代码转换为 .so 扩展名（尤其是 Facebook HipHop），但我认为这两个都没有得到维护。

如果您只想确保客户可以使用经过验证的内容（并且您不担心客户会修改文件），那么只需使用 PGP 或 x509 的标准文件签名。

如果您想阻止您的客户修改 PHP 代码，那么我知道（并且自己还没有测试过）的唯一选择是将您的代码分发为 HHVM 字节码 - 但这并不抵抗逆向工程, 没有内在的、安全的验证机制，实际上并不是一种保护代码的方法。