现代PHP：使用 Sodium 扩展对数据进行加密/解密

多年来，PHP增加了对几个扩展、库和算法的支持，以加密和解密数据。伴随着几个具有不同维护级别的库和扩展，每个算法都可能有优缺点，有些算法甚至天生不安全，因此很难选择合适的PHP扩展、库和加密结构，并平衡安全性和性能。

mcrypt是为PHP带来加密/解密功能的最古老的PHP扩展之一。它不再被维护，并且在PHP 7.2中，PHP将它解除了捆绑。

OpenSSL是另一个被广泛采用并得到积极支持的库。OpenSSL提供了广泛的密码、密钥交换和身份验证算法，如果在错误的用例中使用，其中一些算法可能是不安全的。例如，OpenSSL提供的最常见的加密算法是AES（高级加密标准）。它有几种操作模式和密钥大小，为不安全的使用留下了空间。从一开始，AES模式（如ECB（电子代码簿））在语义上是不安全的，而一些模式，如CBC（Cipher block chaining密码块链接），需要对加密消息进行身份验证才能完全安全，并且仍然容易受到密文填塞攻击（padding oracle attacks），如POODLE。

Libsodium是NaCl的一个分支，是一个更现代、更有主见的密码库。它提供了安全和合理的默认值，并省去了从最终用户到库维护人员的大量决策。PHP中。Libsodium可以作为PECL扩展使用，但从7.2 开始，PHP也将该扩展引入到PHP核心中。

安装/启用Sodium扩展

从PHP 7.2开始，Sodium扩展就包含在PHP核心中。Sodium扩展很可能已经可用并启用，这可以从phpinfo()中确认。

此外，你可以在PHP CLI中列出 PHP 扩展，并检查输出：

php -m | grep sodium

如果 Sodium 扩展不可用，可以通过添加扩展指令启用它。PHP 7.2 以后在扩展指令中不需要在添加扩展后缀(如 .dll/.so)。

标准的 PHP 安装使用下面的例子即可：

extension=sodium

当用源代码编译PHP时，启用Sodium扩展需要使用--with-sodium标志和libsodium库，在Ubuntu/Debian上可以简单安装为libsodium-dev。

对称及非对称加密

使用对称加密和解密，加密和加密使用同一个密钥。就像生活中我们用同一把钥匙去锁门和开门一样。

如果消息在同一个设备上加密和解密，对称加密更加合适。以下是一些使用对称加密的场景：

• 在发送给用户前加密浏览器cookie，并解密传入的cookie。
• 加密存储驱动器并使用同一个密钥对其进行解密。
• Zip/Rar 文件加密。

非对称加密涉及一对密钥：公钥和私钥。

这里的非对称是指有公钥加密的信息，只能由私钥解密。诚如其名，公钥可以自由公开分发。

当生成密钥对时，它的生成方式保证从数学上讲，私钥（并且只有私钥）可以解密用公钥加密的消息。

非对称使得我们可以将公钥和任何感兴趣的

这种不对称性使得我们可以与任何感兴趣的人共享公钥，并让他们发送加密消息，如果没有私钥，其他人都无法读取。

非对称加密的一些用例包括：

• 加密服务器日志，并发送到远程服务器，使得只有远程服务器可以能够读取。
• SSL/TLS 握手
• 通过接收方的公钥发送加密信息。

使用Sodium进行对称加密/解密

PHP Sodium 扩展提供了一些具有最佳默认值和特定密钥大小的算法，以使用密钥加密/解密数据。

Sodium扩展提供的所有算法都提供经过身份验证的加密，这意味着加密文本将经过身份验证，不会被篡改。这可以防止选择密文攻击(Chosen-ciphertext attacks)。对于mcrypt或OpenSSL中的大多数密码等方法，它们是通过调用者生成HMAC/签名并防止此类攻击。

需要存储身份验证标签（MAC）和加密文本的应用程序可以通过使用Sodium提供的“detached”API变体来实现。

目前，Sodium提供了四种密码可供选择：

默认情况下，所有四种密码都提供身份验证，可以安全使用。选择合适的密码是在与其他库、编程语言和工具的兼容性之间取得平衡。

AES256-GCM 在大部分CPU(AES-NI指令集)中得到广泛支持，在其他扩展如OpenSSL中也得到支持。

XChaCha20 with Poly1305 MAC

如果无需考虑与其他语言和工具的兼容性，XChaCha20-Poly1305 - IETF' 是最安全的选择。

Sodium扩展为简单地生成密钥、加密和解密消息提供了函数。此外，random_bytes函数在生成随机随机随机数值时也很方便。

• sodium_crypto_aeaad_xchacha20poly1305_ietf_keygen：生成所需长度的密钥。
• random_bytes:生成随机字节。
• sodium_crypto_aeaad_xchacha20poly1305_ietf_encrypt：加密消息。
• sodium_crypto_aeaad_xchacha20poly1305_iet_decrypt：解密消息。

创建密钥

对称加密的密钥是使用加密安全的伪随机数生成器生成的。

Sodium提供了一个简单的函数来生成所需长度的密钥：

$key = sodium_crypto_aead_xchacha20poly1305_ietf_keygen();

该密钥必须安全地存储起来，它也用在解密消息。

生成Nonce值

为了防止重放攻击，即使源数据相同，每个加密消息也必须不同。这是通过生成一个称为nonce的随机值来实现的。此值使用一次，并每个加密消息都生成。

随机数不一定是随机的，但它必须是唯一的。使用具有足够长度的随机值使得不需要对照现有的nonce值进行检查以确保生成的$nonce是唯一的。

XChaCha20-Poly1305密码需要192位的随机数长度，内置常数使其更容易

$nonce = \random_bytes(\SODIUM_CRYPTO_AEAD_XCHACHA20POLY1305_IETF_NPUBBYTES);

加密消息

生成 $key 和 $nonce 后，就可以加密消息了。

$message = 'Hello World';
$encrypted_text = sodium_crypto_aead_xchacha20poly1305_ietf_decrypt($message, '', $nonce, $key);

$encrypted_text 变量现在保存加密的消息。它包含身份验证标签（MAC），Sodium会自动使用它来验证消息。

sodium_crypto_aeaad_xchacha20poly1305_iet_decrypt的第二个参数接受包含额外数据的字符串。此值不加密或与$encrypted_text一起存储，而是用作身份验证的附加值。在本例中，此值故意留空（“”）。如果必须使用其他身份验证数据（如用户ID或IP地址），请使用此参数。

保存/传送加密信息

一旦生成加密文本，它就包含身份验证标签，这应该可以防止对加密文本的意外和恶意篡改。

$nonce值是解密消息所必需的，并且必须与加密消息一起存储。这方面的一个例子是存储在文件中的$key(secret)密钥，该文件只能由加密/解密消息的进程访问，以及存储在数据库中的$nonce(nonce)和$encrypted_text。

根据加密时的$additional_data参数值，该值可能还需要存储。

此外，sodium_crypto_aeaad_xchacha20poly1305_ietf_encrypt函数返回一个字节流。它不能直接打印(例如在网页或JSON响应上)，因此在打印或传输到无法处理原始字节流的介质之前，必须使用base64_encode或bin2hex等函数将其转换为文本格式。

echo bin2hex($encrypted_text);

解密消息

解密消息需要原始密钥（$key）和Nonce（$nonce）值。

$original_message = sodium_crypto_aead_xchacha20poly1305_ietf_decrypt($encrypted_text, '', $nonce, $key);

如果提供的密钥、nonce或附加数据无效，则此函数将返回false。

完整示例：身份认证对称加密/解密

// Generate a secret key. This value must be stored securely.
$key = sodium_crypto_aead_xchacha20poly1305_ietf_keygen();

// Generate a nonce for EACH MESSAGE. This can be public, and must be provided to decrypt the message.
$nonce = \random_bytes(\SODIUM_CRYPTO_AEAD_XCHACHA20POLY1305_IETF_NPUBBYTES);

// Text to encrypt.
$message = 'Hello World';

// Encrypt
$encrypted_text = sodium_crypto_aead_xchacha20poly1305_ietf_encrypt($message, '', $nonce, $key);

// Decrypt
$original_message = sodium_crypto_aead_xchacha20poly1305_ietf_decrypt($encrypted_text, '', $nonce, $key);

从 Mcrypt 和 OpenSSL 中迁移

mcrypt和OpenSSL扩展也提供对称加密。然而，它们对身份验证、密钥长度和随机数长度的支持程度各不相同。

一般来说，sodium_crypto_aeaad_xchacha20poly1305_ietf_*函数是mcrypt_encrypt和openssl_encryption函数的更好替代方案。

使用Sodium进行身份验证的不对称加密/解密

Sodium还提供了一种不对称加密和解密消息的方法。

非对称加密涉及两方。双方创建一个密钥对，其中包含一个私钥和一个公钥。公钥被分发给需要与之通信的其他方。

例如，如果Alice和Bob想要安全地通信，并且必须确保：

1. 消息确实来自Alice/Bob，而不是来自其他人。
2. 消息是私人的，没有人可以阅读或篡改它们。

Sodium扩展提供了一个Crypto Box API，可以实现此类消息的真实性和隐私性。在发送消息之前，Alice和Bob（或所有相关方）必须生成一个密钥对，并安全地交换公钥。

Sodium还提供了安全的密钥交换协议，但本文未对此进行介绍。

发送消息时，发送方使用接收方的公钥对其进行加密，并使用发送方的私钥对其进行签名。一旦消息被发送，接收方就用发送方的公钥对消息进行身份验证，并用接收方的私钥进行解密。

如果接收方不需要对收到的消息进行身份验证-以确保消息确实是由发送方发送的-Sodium扩展也使用crypto_box_seal API进行未经身份验证的不对称加密/解密。

生成密钥对

所有需要通信的各方都必须生成一个密钥对。该密钥必须保密，因为它用于对消息进行签名和解密。

在Alice和Bob的设备上分别生成密钥

$alice_keypair = sodium_crypto_box_keypair();
$alice_secret_key = sodium_crypto_box_secretkey($alice_keypair);
$alice_public_key = sodium_crypto_box_publickey($alice_keypair);

$bob_keypair = sodium_crypto_box_keypair();
$bob_secret_key = sodium_crypto_box_secretkey($bob_keypair);
$bob_public_key = sodium_crypto_box_publickey($bob_keypair);

• sodium_crypto_box_keypair生成一个随机密钥对，其中包含X25519密钥及其对应的X25519公钥
• sodium_crypto_box_secretkey提取密钥对的密钥部分。
• sodium_crypto_box_publicey提取密钥对的公钥。

交换密钥

对于经过身份验证的非对称加密和解密，相关双方必须安全地交换其公钥。这可以使用密钥交换协议来完成，也可以使用另一个安全通道（如HTTPS请求）来传输密钥。

Sodium通过其Sodium_crypto_kx_*功能提供密钥交换功能。然而，本文在这一点上没有涵盖这些API，以确保其简洁性。

成功交换密钥后：

• Alice 必须拥有Alice 的公钥、Alice 的私钥和Bob的公钥。

Bob必须拥有Bob的公钥、Bob的私钥和Alice的公钥。

创建Nonce值

与使用对称加密为每条消息创建nonce随机值类似，经过身份验证的非对称消息也必须使用nonce随机值。

nonce值必须为192位（24字节），可以使用random_bytes函数和内置的SODIUM_CRYPTO_BOX_NONCEBYTES常量轻松创建，其值为24。

$nonce = \random_bytes(\SODIUM_CRYPTO_BOX_NONCEBYTES);

构建加密密钥对

在加密消息之前，发送方（本例中为Alice）必须创建一个新的密钥对，其中包含接收方的公钥和发送方的私钥。这可以通过连接公钥和私钥来实现，也可以使用sodium_crypto_box_keypair_from_secretkey_and_publickey函数。

发送方:

$sender_keypair = sodium_crypto_box_keypair_from_secretkey_and_publickey($alice_secret_key, $bob_public_key);

消息加密和签名

交换了密钥，生成了随机数，建立了加密密钥对，现在是时候对消息进行加密了。

$message = "Hi Bob, I'm Alice";
$encrypted_signed_text = sodium_crypto_box($message, $nonce, $sender_keypair);

sodium_crypto_box函数使用密钥对（$sender_keypair）对消息进行加密和签名。发送方的私钥用于创建签名，接收方的公钥用于加密实际消息。身份验证标签与加密文本（$encrypted_signed_text）一起存储。

存储/传输加密和签名的文本

一旦消息被加密和签名，只有拥有私钥的接收者才能解密消息。任何拥有发件人公钥的人都可以对邮件进行身份验证，但如果没有收件人的私钥，就无法读取邮件内容。

$nonce nonce值必须与密文一起存储/传输，并且它可能是公共的。

请确保为下一条消息重新生成$nonce值，以防止重放攻击。

解密和验证接收到的消息

如果接收方拥有发送方的公钥（本例中为Alice的公钥），则接收方可以对消息进行身份验证，并确保该消息由发送方签名。

$recipient_keypair = sodium_crypto_box_keypair_from_secretkey_and_publickey($bob_secret_key, $alice_public_key);
$orig_msg = sodium_crypto_box_open($encrypted_signed_text, $nonce, $sender_keypair);
var_dump($orig_msg); // "Hi Bob, I'm Alice"

sodium_crypto_box_keypair_from_secretkey_and_publickey函数再次用于创建新的密钥对，但这一次，它是根据接收方的私钥和发送方的公钥创建的。

一旦生成了密钥对，就可以对消息进行身份验证和解密。

sodium_cryptobox_open函数验证消息是否由发送者签名（使用发送者的私钥签名），并使用接收者的私钥解密消息。

如果密钥或nonce不匹配，那么sodium_crypto_box_open将返回false。

完整示例：经过身份验证的公钥加密/解密

// On Alice's device
$alice_keypair = sodium_crypto_box_keypair();
$alice_secret_key = sodium_crypto_box_secretkey($alice_keypair);
$alice_public_key = sodium_crypto_box_publickey($alice_keypair);

// On Bob's device
$bob_keypair = sodium_crypto_box_keypair();
$bob_secret_key = sodium_crypto_box_secretkey($bob_keypair);
$bob_public_key = sodium_crypto_box_publickey($bob_keypair);

// Exchange keys:
// - Send Alice's public key to Bob.
// - Send Bob's public key to Alice.

// On sender:

// Create nonce
$nonce = \random_bytes(\SODIUM_CRYPTO_BOX_NONCEBYTES);

// Create enc/sign key pair.
$sender_keypair = sodium_crypto_box_keypair_from_secretkey_and_publickey($alice_secret_key, $bob_public_key);

$message = "Hi Bob, I'm Alice";

// Encrypt and sign the message
$encrypted_signed_text = sodium_crypto_box($message, $nonce, $sender_keypair);

// On recipient:
$recipient_keypair = sodium_crypto_box_keypair_from_secretkey_and_publickey($bob_secret_key, $alice_public_key);

// Authenticate and decrypt message
$orig_msg = sodium_crypto_box_open($encrypted_signed_text, $nonce, $sender_keypair);

var_dump($orig_msg); // "Hi Bob, I'm Alice"

使用Sodium进行未经验证的非对称加密/解密

如果接收方不需要对传入消息进行身份验证，而只需要对其进行解密，那么这可能是一个使用Sodium的crypto_box_seal API的场景。

Sodium中的crypto_box_seal

Sodium的crypto_box_seal函数用于使用一对公钥和私钥对消息进行加密和解密。与经过身份验证的非对称加密/解密之间的主要区别在于crypt_box_seal不会对消息进行身份验证。

Sodium的crypt_box_seal功能与OpenSSL的OpenSSL_public_encrypt和OpenSSL_private_decrypt类似，因为OpenSSL功能对也不提供身份验证。

对于crypto_box_seal，只有接收方需要生成一个密钥对。发送方可以获得接收方的公钥，并对消息进行加密。

接收者可以解密任何用其公钥加密的消息，但无法识别或验证发送者的身份。

为收件人创建密钥对

对于未经身份验证的非对称加密，只需要收件人生成密钥对：

$recipient_keypair = sodium_crypto_box_keypair();
$recipient_public_key = sodium_crypto_box_publickey($recipient_keypair);

分发公钥

接收方必须安全地存储密钥对的私钥部分。然后，可以通过安全通道分发公钥（$recipient_public_key）。

分发公钥最简单、最常见的方法是通过HTTPS连接。例如，发送者可以通过HTTPS从接收者的网站下载发送者的公钥。

请注意，尽管匿名非对称加密不为消息提供身份验证，但公钥必须安全传输，发送方必须验证接收方的公钥是否与实际接收方一致，并且密钥在传输过程中不会被篡改。

加密消息

有了接收方的公钥，任何发送方都可以加密消息：

$message = "Hi Bob, you don't know who I am";
$encrypted_text = sodium_crypto_box_seal($message, $recipient_public_key);

存储/传输消息

加密消息只能由持有私钥的接收人打开。然而，由于不存在身份验证或nonce值，这很容易受到重放攻击。

解密消息

要解密使用公钥加密的消息，接收方必须拥有相应的私钥。

sodium_crypto_box_seal_open使用密钥对加密的消息进行解密。

$original_message = sodium_crypto_box_seal_open($encrypted_text, $recipient_keypair);
var_dump($original_message); // "Hi Bob, you don't know who I am"

完整示例：未经身份验证的公钥加密

$recipient_keypair = sodium_crypto_box_keypair();
$recipient_public_key = sodium_crypto_box_publickey($recipient_keypair);

$message = "Hi Bob, you don't know who I am";
$encrypted_text = sodium_crypto_box_seal($message, $recipient_public_key);

$original_message = sodium_crypto_box_seal_open($encrypted_text, $recipient_keypair);
var_dump($original_message); // "Hi Bob, you don't know who I am"