【发布时间】:2018-07-23 12:15:01
【问题描述】:
这是一个与安全相关的问题,发布在here。
我在当前的 PHP 7.0 设置中使用this,它工作正常。但是因为自 7.2 以来 mcrypt 已被 openssl 取代,我正在努力使用发布的 here 更新加密和解密函数,因为它是内置的。
但因为这是在一个包含 25 个项目的网页上,所以执行需要很长时间,这对最终用户来说是不可接受的。
<?php
define("ENCRYPTION_KEY", "!@#$%^&*");
$StartTime = microtime(TRUE);
$e = [];
for ($i = 0; $i < 25; $i++)
{
$e[] = encrypt($i, ENCRYPTION_KEY);
}
echo number_format(microtime(TRUE) - $StartTime, 3)." seconds\n";
# https://stackoverflow.com/a/50373095/126833
function sign($message, $key) {
return hash_hmac('sha256', $message, $key) . $message;
}
function verify($bundle, $key) {
return hash_equals(
hash_hmac('sha256', mb_substr($bundle, 64, null, '8bit'), $key),
mb_substr($bundle, 0, 64, '8bit')
);
}
function getKey($password, $keysize = 16) {
return hash_pbkdf2('sha256',$password,'some_token',100000,$keysize,true);
}
function encrypt($message, $password) {
$iv = random_bytes(16);
$key = getKey($password);
$result = sign(openssl_encrypt($message,'aes-256-ctr',$key,OPENSSL_RAW_DATA,$iv), $key);
return bin2hex($iv).bin2hex($result);
}
function decrypt($hash, $password) {
$iv = hex2bin(substr($hash, 0, 32));
$data = hex2bin(substr($hash, 32));
$key = getKey($password);
if (!verify($data, $key)) {
return null;
}
return openssl_decrypt(mb_substr($data, 64, null, '8bit'),'aes-256-ctr',$key,OPENSSL_RAW_DATA,$iv);
}
?>
.
$ php encrypt-decrypt.php
6.288 seconds
有什么方法可以真正快速执行吗? (比如 25 次迭代不到一秒)
【问题讨论】:
-
你告诉 hash_pbkdf2 执行 100k 次迭代,这是花费时间的地方,它通过花费时间来做它应该做的事情。为了加快速度,减少迭代次数以平衡性能。
-
我可以看到文档中的示例 (php.net/manual/en/function.hash-pbkdf2.php) 使用了 1000 次迭代,这要快得多。我盲目地复制了其他 SO 答案中发布的内容。谢谢。
-
请记住,更多的迭代意味着您的用户的安全性更高。这就是@AlexK 的原因。用了“平衡”这个词。也许 10k 次迭代是可以接受的性能。
-
@JamesKPolk 你注意到
getKey / hash_pbkdf2的名字了吗? -
@MaartenBodewes:不,我什至不喜欢阅读 PHP。
标签: php encryption openssl php-7.2