Cryptage bidirectionnel: je dois stocker des mots de passe pouvant être récupérés

Personnellement, j'utiliserais mcrypt comme les autres postés. Mais il y a beaucoup plus à noter ...

1. Comment chiffrer et déchiffrer un mot de passe en PHP?

   Voir ci-dessous pour une classe forte qui prend soin de tout pour vous:

2. Quel est l'algorithme le plus sûr pour chiffrer les mots de passe?

   le plus sûr? n'importe lequel d'entre eux. La méthode la plus sûre si vous allez chiffrer consiste à vous protéger contre les vulnérabilités de divulgation d'informations (XSS, inclusion à distance, etc.). S'il parvient à sortir, l'attaquant peut éventuellement déchiffrer le chiffrement (aucun chiffrement n'est irréversible à 100% sans la clé - comme le souligne @NullUserException, cela n'est pas tout à fait vrai. Il existe des schémas de chiffrement impossibles à déchiffrer tels que - OneTimePad ).

3. Où est-ce que je stocke la clé privée?

   Ce que je voudrais faire est d'utiliser 3 clés. L'un est fourni par l'utilisateur, l'un est spécifique à l'application et l'autre est spécifique à l'utilisateur (comme un sel). La clé spécifique à l'application peut être stockée n'importe où (dans un fichier de configuration en dehors de la racine Web, dans une variable d'environnement, etc.). Le nom d'utilisateur spécifique serait stocké dans une colonne de la base de données à côté du mot de passe crypté. L'utilisateur fourni ne serait pas stocké. Ensuite, vous feriez quelque chose comme ça:

   $key = $userKey . $serverKey . $userSuppliedKey;
   

   L'avantage ici est que deux clés peuvent être compromises sans compromettre les données. En cas d'attaque par injection SQL, ils peuvent obtenir le $userKey, Mais pas les 2 autres. S'il existe un exploit sur un serveur local, ils peuvent obtenir $userKey Et $serverKey, Mais pas le troisième $userSuppliedKey. S'ils vont frapper l'utilisateur avec une clé, ils peuvent obtenir le $userSuppliedKey, Mais pas les 2 autres (mais encore une fois, si l'utilisateur est battu avec une clé, vous êtes de toute façon trop en retard).

4. Au lieu de stocker la clé privée, est-il judicieux de demander aux utilisateurs de saisir la clé privée chaque fois qu'ils ont besoin d'un mot de passe déchiffré? (Les utilisateurs de cette application peuvent être de confiance)

   Absolument. En fait, c'est la seule façon dont je le ferais. Sinon, vous devrez stocker une version non chiffrée dans un format de stockage durable (mémoire partagée telle que APC ou memcached, ou dans un fichier de session). Cela vous expose à des compromis supplémentaires. Ne stockez jamais la version non chiffrée du mot de passe dans une variable autre qu'une variable locale.

5. Comment le mot de passe peut-il être volé et déchiffré? De quoi ai-je besoin d'être conscient?

   Toute forme de compromission de vos systèmes leur permettra de visualiser les données cryptées. S'ils peuvent injecter du code ou accéder à votre système de fichiers, ils peuvent afficher les données déchiffrées (car ils peuvent éditer les fichiers qui déchiffrent les données). Toute forme d’attaque par Replay ou MITM leur donnera également un accès complet aux clés impliquées. Renifler le trafic HTTP brut leur donnera également les clés.

   Utilisez SSL pour tout le trafic. Et assurez-vous que rien sur le serveur ne présente de vulnérabilités (CSRF, XSS, injection SQL, escalade des privilèges, exécution de code à distance, etc.).

Edit: Voici une implémentation de classe PHP) d'une méthode de cryptage fort:

/**
 * A class to handle secure encryption and decryption of arbitrary data
 *
 * Note that this is not just straight encryption.  It also has a few other
 *  features in it to make the encrypted data far more secure.  Note that any
 *  other implementations used to decrypt data will have to do the same exact
 *  operations.  
 *
 * Security Benefits:
 *
 * - Uses Key stretching
 * - Hides the Initialization Vector
 * - Does HMAC verification of source data
 *
 */
class Encryption {

    /**
     * @var string $cipher The mcrypt cipher to use for this instance
     */
    protected $cipher = '';

    /**
     * @var int $mode The mcrypt cipher mode to use
     */
    protected $mode = '';

    /**
     * @var int $rounds The number of rounds to feed into PBKDF2 for key generation
     */
    protected $rounds = 100;

    /**
     * Constructor!
     *
     * @param string $cipher The MCRYPT_* cypher to use for this instance
     * @param int    $mode   The MCRYPT_MODE_* mode to use for this instance
     * @param int    $rounds The number of PBKDF2 rounds to do on the key
     */
    public function __construct($cipher, $mode, $rounds = 100) {
        $this->cipher = $cipher;
        $this->mode = $mode;
        $this->rounds = (int) $rounds;
    }

    /**
     * Decrypt the data with the provided key
     *
     * @param string $data The encrypted datat to decrypt
     * @param string $key  The key to use for decryption
     * 
     * @returns string|false The returned string if decryption is successful
     *                           false if it is not
     */
    public function decrypt($data, $key) {
        $salt = substr($data, 0, 128);
        $enc = substr($data, 128, -64);
        $mac = substr($data, -64);

        list ($cipherKey, $macKey, $iv) = $this->getKeys($salt, $key);

        if (!hash_equals(hash_hmac('sha512', $enc, $macKey, true), $mac)) {
             return false;
        }

        $dec = mcrypt_decrypt($this->cipher, $cipherKey, $enc, $this->mode, $iv);

        $data = $this->unpad($dec);

        return $data;
    }

    /**
     * Encrypt the supplied data using the supplied key
     * 
     * @param string $data The data to encrypt
     * @param string $key  The key to encrypt with
     *
     * @returns string The encrypted data
     */
    public function encrypt($data, $key) {
        $salt = mcrypt_create_iv(128, MCRYPT_DEV_URANDOM);
        list ($cipherKey, $macKey, $iv) = $this->getKeys($salt, $key);

        $data = $this->pad($data);

        $enc = mcrypt_encrypt($this->cipher, $cipherKey, $data, $this->mode, $iv);

        $mac = hash_hmac('sha512', $enc, $macKey, true);
        return $salt . $enc . $mac;
    }

    /**
     * Generates a set of keys given a random salt and a master key
     *
     * @param string $salt A random string to change the keys each encryption
     * @param string $key  The supplied key to encrypt with
     *
     * @returns array An array of keys (a cipher key, a mac key, and a IV)
     */
    protected function getKeys($salt, $key) {
        $ivSize = mcrypt_get_iv_size($this->cipher, $this->mode);
        $keySize = mcrypt_get_key_size($this->cipher, $this->mode);
        $length = 2 * $keySize + $ivSize;

        $key = $this->pbkdf2('sha512', $key, $salt, $this->rounds, $length);

        $cipherKey = substr($key, 0, $keySize);
        $macKey = substr($key, $keySize, $keySize);
        $iv = substr($key, 2 * $keySize);
        return array($cipherKey, $macKey, $iv);
    }

    /**
     * Stretch the key using the PBKDF2 algorithm
     *
     * @see http://en.wikipedia.org/wiki/PBKDF2
     *
     * @param string $algo   The algorithm to use
     * @param string $key    The key to stretch
     * @param string $salt   A random salt
     * @param int    $rounds The number of rounds to derive
     * @param int    $length The length of the output key
     *
     * @returns string The derived key.
     */
    protected function pbkdf2($algo, $key, $salt, $rounds, $length) {
        $size   = strlen(hash($algo, '', true));
        $len    = ceil($length / $size);
        $result = '';
        for ($i = 1; $i <= $len; $i++) {
            $tmp = hash_hmac($algo, $salt . pack('N', $i), $key, true);
            $res = $tmp;
            for ($j = 1; $j < $rounds; $j++) {
                 $tmp  = hash_hmac($algo, $tmp, $key, true);
                 $res ^= $tmp;
            }
            $result .= $res;
        }
        return substr($result, 0, $length);
    }

    protected function pad($data) {
        $length = mcrypt_get_block_size($this->cipher, $this->mode);
        $padAmount = $length - strlen($data) % $length;
        if ($padAmount == 0) {
            $padAmount = $length;
        }
        return $data . str_repeat(chr($padAmount), $padAmount);
    }

    protected function unpad($data) {
        $length = mcrypt_get_block_size($this->cipher, $this->mode);
        $last = ord($data[strlen($data) - 1]);
        if ($last > $length) return false;
        if (substr($data, -1 * $last) !== str_repeat(chr($last), $last)) {
            return false;
        }
        return substr($data, 0, -1 * $last);
    }
}

Notez que j'utilise une fonction ajoutée dans PHP 5.6: hash_equals . Si vous êtes sur une version inférieure à 5.6, vous pouvez utiliser ce substitut. fonction qui implémente une comparaison temporelle sûre fonction utilisant double vérification HMAC :

function hash_equals($a, $b) {
    $key = mcrypt_create_iv(128, MCRYPT_DEV_URANDOM);
    return hash_hmac('sha512', $a, $key) === hash_hmac('sha512', $b, $key);
}

Usage:

$e = new Encryption(MCRYPT_BLOWFISH, MCRYPT_MODE_CBC);
$encryptedData = $e->encrypt($data, $key);

Ensuite, pour décrypter:

$e2 = new Encryption(MCRYPT_BLOWFISH, MCRYPT_MODE_CBC);
$data = $e2->decrypt($encryptedData, $key);

Notez que j'ai utilisé $e2 La deuxième fois pour vous montrer que différentes instances déchiffreraient toujours correctement les données.

Maintenant, comment ça marche/pourquoi l'utiliser avec une autre solution:

1. Clés

   • Les clés ne sont pas utilisées directement. Au lieu de cela, la clé est étirée par une dérivation PBKDF2 standard.

   • La clé utilisée pour le cryptage est unique pour chaque bloc de texte crypté. La clé fournie devient alors une "clé principale". Cette classe fournit donc une rotation de clé pour les clés chiffrées et authentiques.

   • REMARQUE IMPORTANTE , le paramètre $rounds Est configuré pour des clés aléatoires véritables de force suffisante (128 bits au minimum de valeur aléatoire sécurisée de manière cryptographique). Si vous allez utiliser un mot de passe ou une clé non aléatoire (ou moins aléatoire que 128 bits de valeur aléatoire CS), vous devez augmenter ce paramètre. Je suggérerais un minimum de 10000 pour les mots de passe (plus vous en aurez les moyens, mieux ce sera, mais cela ajoutera du temps à l'exécution) ...

2. Intégrité des données

   • La version mise à jour utilise ENCRYPT-THEN-MAC, qui est une méthode bien meilleure pour garantir l’authenticité des données cryptées.

3. Cryptage:

   • Il utilise mcrypt pour effectuer le cryptage. Je suggérerais d'utiliser soit MCRYPT_BLOWFISH Ou MCRYPT_RIJNDAEL_128 Cyphers et MCRYPT_MODE_CBC Pour le mode. Il est assez puissant et reste assez rapide (un cycle de chiffrement et de déchiffrement prend environ 1/2 seconde sur ma machine).

Maintenant, en ce qui concerne le point 3 de la première liste, cela vous donnerait une fonction comme celle-ci:

function makeKey($userKey, $serverKey, $userSuppliedKey) {
    $key = hash_hmac('sha512', $userKey, $serverKey);
    $key = hash_hmac('sha512', $key, $userSuppliedKey);
    return $key;
}

Vous pouvez l'étirer dans la fonction makeKey(), mais comme elle sera étirée plus tard, il n'y a pas vraiment de raison de le faire.

En ce qui concerne la taille de stockage, cela dépend du texte brut. Blowfish utilise une taille de bloc de 8 octets, vous aurez donc:

• 16 octets pour le sel
• 64 octets pour le hmac
• longueur de données
• Rembourrage pour que la longueur des données% 8 == 0

Ainsi, pour une source de données de 16 caractères, il y aura 16 caractères de données à chiffrer. Cela signifie donc que la taille réelle des données cryptées est de 16 octets en raison du remplissage. Ajoutez ensuite 16 octets pour le sel et 64 octets pour le hmac et la taille totale stockée est de 96 octets. Donc, il y a au mieux une surcharge de 80 caractères et au pire une surcharge de 87 caractères ...

J'espère que ça aide ...

Remarque: 12/11/12: Je viens de mettre à jour cette classe avec une méthode de chiffrement BEAUCOUP mieux, utilisant de meilleures clés dérivées et corrigeant la génération de MAC. .