Comment PHP utilise le chiffrement asymétrique dans le chiffrement OpenSSL

Cet article vous présentera comment PHP utilise le cryptage asymétrique dans le cryptage OpenSSL. Il a une certaine valeur de référence. Les amis dans le besoin peuvent s'y référer. J'espère qu'il sera utile à tout le monde.

Dans le dernier article, nous avons acquis quelques connaissances théoriques pertinentes sur le chiffrement symétrique et asymétrique, et avons également appris à utiliser OpenSSL pour effectuer des opérations de chiffrement symétriques. Aujourd'hui, nous allons aller plus loin et découvrir comment le chiffrement asymétrique est implémenté dans OpenSSL.

Générer une clé privée

Grâce à des apprentissages antérieurs, nous savons que le chiffrement asymétrique nécessite respectivement une clé publique et une clé privée. Générons d’abord une clé privée, qui est une clé stockée de notre côté. N'oubliez pas que la clé privée ne peut à aucun moment être transmise à d'autres personnes !

$config = array(
    "private_key_bits" => 4096, // 指定应该使用多少位来生成私钥
);

$res = openssl_pkey_new($config); // 根据配置信息生成私钥

openssl_pkey_export($res, $privateKey); // 将一个密钥的可输出表示转换为字符串
var_dump($privateKey); 
// -----BEGIN PRIVATE KEY-----
// MIIJQgIBADANBgkqhkiG9w0BAQEFAASCCSwwggkoAgEAAoICAQDFMLW+9t3fNX4C
// YBuV0ILSyPAdSYVXtE4CLv32OvNk9yQZgF2nL/ZuIbBGRcYo2Hf5B31doGrAFDGu
// NoTR+WA7CBjKROFr/+yValsMFIeiKNtttWMkmBciysDJoEoyd6wjDD+kcHQdoJVo
// ……
// -----END PRIVATE KEY-----

Une fonction très simple openssl_pkey_new(), qui reçoit un paramètre, qui est un paramètre configurable et facultatif. Le résultat généré est un handle de clé privée, ce qui n'est pas quelque chose que nous pouvons lire directement, nous utilisons donc openssl_pkey_export() pour extraire la chaîne de sortie.

Le contenu du commentaire correspond aux informations de clé privée que nous avons générées. Les informations de clé privée sont généralement relativement volumineuses, le contenu suivant est donc omis.

Extraire la clé publique

L'étape suivante consiste à générer la clé publique. En fait, la clé publique est extraite de la clé privée. Par conséquent, lorsque nous utilisons le cryptage et le déchiffrement, nous pouvons utiliser des clés privées ou des clés publiques pour fonctionner les unes avec les autres.

$publicKey = openssl_pkey_get_details($res); // 抽取公钥信息
var_dump($publicKey);
// array(4) {
//     ["bits"]=>
//     int(4096)
//     ["key"]=>
//     string(800) "-----BEGIN PUBLIC KEY-----
//   MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAtOIImDdS0W0vAr5Ra1+E
//   hR2AJwQQwxntYKgTku8EmJRBX2vU+x8th8W8SnoGiVM/sOItG0HIe4Egf1UxoZHt
//   gI6r+jpAp7JbTN0sD/VTPDE09F21+hFGjIVBqrkcLPjuEbf7+tjmgAx8cG8WLGId
//   G8Hsub70kRANKJe1bCXIBUggRFk0sQGllxA/hxiG5wANqHTrdpJgJba+ahSi2+4H
//   UWnyCV1O3AaPyz6a12HNUsG4Eio/tWv/hOB9POt6nAqwPHuIbhp56i5bv1ijMJZM
//   jwRen5f/kwdZ01Ig2fi0uBoTR2y/EEaus7xBYpF/gGzZ/uM7cNUXcDyG5YluM/4R
//   MEv4msPMVGB72izItED+C6Cqftxl98iBFRDc+PISFbRSgOU/HsuBhKkM5SYzyi3I
//   Ypaej25++qLPqcA+EDr3JNDhNZ0GOhofCRtPq4dsr7iLLLRnZ0TnhIYe9wAbmO49
//   uthABNBkM54bG+omOfY4Bkn5n39CKpELbhIiXgOd+lA684XUS/2Aw3Dvelc9Gbag
//   oIFvb/wljPYsd0Zmd64CXBpTWbfwXC8K4vCKvFLjytcz2Yp4T6fVjbLT5RA6u8su
//   E0WwE4QTFNKhnM5OvfiMN+NMc3Y/esVfcin3eyvotdz4N6Tt45dkybkf6aQE3Scg
//   E/JBLIEEA+gjGTveY4cNUiECAwEAAQ==
//   -----END PUBLIC KEY-----
//   "
//     ["rsa"]=>
// ……

$publicKey = $publicKey['key'];

Le contenu extrait à l'aide de openssl_pkey_get_details() contient beaucoup de contenu. Mais la principale chose dont nous avons besoin est la clé publique sous clé.

Revenons en arrière et examinons de plus près le contenu de la clé publique et de la clé privée. Sont-ils identiques au contenu des clés publique et privée du certificat HTTPS que nous avons demandé, et sont-ils similaires. à ceux que nous utilisons openssl dans notre système ? Le certificat de clé généré par la ligne de commande est le même que celui local. Ils représentent la même chose en eux-mêmes, mais ils sont appliqués différemment selon les scénarios. En plus de la clé de chiffrement asymétrique, le certificat HTTPS contient également des informations sur l'autorité de certification. Si l'autorité de certification échoue, le navigateur considérera également le certificat comme invalide. Par conséquent, nous ne pouvons pas utiliser le certificat que nous avons généré comme certificat HTTPS. Ceux générés par eux-mêmes sont généralement utilisés pour la connexion sans mot de passe SSH ou les opérations d'entrepôt de code sans mot de passe GitHub.

Crypter et déchiffrer les données

D'accord, les clés publiques et privées ont été générées, nous devons ensuite effectuer les opérations de cryptage et de décryptage les plus importantes.

$data = '测试非对称加密';

// 公钥加密数据
openssl_public_encrypt($data, $encrypted, $publicKey);
var_dump($encrypted);
// string(512) 

// 私钥解密数据
openssl_private_decrypt($encrypted, $decrypted, $privateKey);
var_dump($decrypted);
// string(21) "测试非对称加密"

Ici, nous utilisons le cryptage à clé publique et le déchiffrement à clé privée les plus standards pour les tests. En fait, l’inverse est également possible. OpenSSL nous offre des fonctions de cryptage et de déchiffrement à clé publique et de cryptage et déchiffrement à clé privée.

Tout comme l'illustration de l'article précédent, l'autre partie obtient notre clé publique, puis crypte les données et les transmet, et nous déchiffrons les données avec notre propre clé privée pour obtenir le texte original. Nous pouvons également obtenir la clé publique de l'autre partie, crypter les données renvoyées et les transmettre à l'autre partie, puis l'autre partie utilise sa propre clé privée pour décrypter et obtenir les données originales que nous lui avons transmises.

Et HTTPS obtient la clé publique via un certificat délivré par l'autorité de certification. Le navigateur demande que les données soient transmises au serveur via un cryptage à clé publique, et le serveur utilise également le même principe pour envoyer des données chiffrées au navigateur. client. Ainsi, lors de la transmission des données, la transmission via HTTPS sera plus sécurisée. Même si elle est interceptée, l'autre partie n'aura pas la clé fournie par le certificat pour la déchiffrer. C'est pourquoi toutes les applications et mini-programmes nécessitent désormais l'utilisation de HTTPS. Bien sûr, si nous développons des sites Web, il est préférable d'utiliser HTTPS. Même Baidu a apporté les ajustements correspondants à l'inclusion de HTTPS.

Signature et vérification

Nous aborderons ensuite la notion de signature. Lorsque deux extrémités communiquent, comment savons-nous que les données actuellement transmises doivent avoir été envoyées par l’autre extrémité ? Un pirate informatique les a-t-il falsifiées ? Cela peut être vérifié via le mécanisme de signature.

// 利用私钥生成签名
openssl_sign($data, $signature, $privateKey, OPENSSL_ALGO_SHA256);
var_dump($signature);

// 公钥验证签名
$r = openssl_verify($data, $signature, $publicKey, OPENSSL_ALGO_SHA256);
var_dump($r);
// int(1)

Nous utilisons openssl_sign() pour générer une signature de clé privée pour les données d'origine, puis nous pouvons utiliser openssl_verify() pour vérifier si la signature de données est cohérente via la clé publique.

Lorsqu'il est utilisé, l'expéditeur génère une signature via sa propre clé privée. Étant donné que le contenu de la signature est tronqué, nous pouvons le base64_encode() puis le transmettre au destinataire avec les données cryptées. Le récepteur utilise ensuite la clé publique et vérifie si les données originales ont été falsifiées en fonction du contenu de la signature.

// 发送方签名
$resquestSign = base64_encode($signature);

// 假设通过网络请求发送了数据
// ……
// 接收到获得签名及原始数据
// $signature = $_POST['sign'];
// openssl_private_decrypt($_POST['data'], $data, $privateKey); 

$responseSign = base64_decode($signature);
// 验证数据有没有被篡改
$r = openssl_verify($data, $signature, $publicKey, OPENSSL_ALGO_SHA256);
var_dump($r);
// int(1)

// 假设被篡改
$data = '我被修改了';
$r = openssl_verify($data, $signature, $publicKey, OPENSSL_ALGO_SHA256);
var_dump($r);
// int(0)

Résumé

Le contenu d'aujourd'hui semble-t-il beaucoup plus compliqué que le cryptage symétrique ? En particulier le nouveau concept de signature. En fait, de nombreux contenus liés aux certificats sont liés à la signature des données. En d’autres termes, HTTPS semble simple. En fait, openssl sur le navigateur et le serveur a fait beaucoup de choses pour nous. Cela va bien au-delà du simple fait de demander à l’autorité de certification un ensemble de certificats, puis de configurer. eux dans Nginx. Donc, ensuite, ce que nous allons apprendre, c'est le contenu lié à la génération des certificats. Attachez vos ceintures et la voiture continuera à rouler.

Code de test :

https://github.com/zhangyue0503/dev-blog/blob/master/php/202007/source/PHP%E7%9A%84OpenSSL%E5%8A%A0%E5%AF%86%E6%89%A9%E5%B1%95%E5%AD%A6%E4%B9%A0%EF%BC%88%E4%BA%8C%EF%BC%89%EF%BC%9A%E9%9D%9E%E5%AF%B9%E7%A7%B0%E5%8A%A0%E5%AF%86.php

推荐学习：php视频教程

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!