php中的aes和cbc,php aes加密

本文目錄一覽：

1、PHP對稱加密-AES
2、php openssl aes-256-cbc key長度自動匹配了128的長度，為什麼
3、php AES加密，怎樣用CTR加密模式
4、PHP 加密：AES & RSA

PHP對稱加密-AES

對稱加解密算法中，當前最為安全的是 AES 加密算法（以前應該是是 DES 加密算法），PHP 提供了兩個可以用於 AES 加密算法的函數簇： Mcrypt 和 OpenSSL 。

其中 Mcrypt 在 PHP 7.1.0 中被棄用（The Function Mycrypt is Deprecated)，在 PHP 7.2.0 中被移除，所以即可起你應該使用 OpenSSL 來實現 AES 的數據加解密。

在一些場景下，我們不能保證兩套通信系統都使用了相函數簇去實現加密算法，可能 siteA 使用了最新的 OpenSSL 來實現了 AES 加密，但作為第三方服務的 siteB 可能仍在使用 Mcrypt 算法，這就要求我們必須清楚 Mcrypt 同 OpenSSL 之間的差異，以便保證數據加解密的一致性。

下文中我們將分別使用 Mcrypt 和 OpenSSL 來實現 AES-128/192/256-CBC 加解密，二者同步加解密的要點為：

協同好以上兩點，就可以讓 Mcrypt 和 OpenSSL 之間一致性的對數據進行加解密。

AES 是當前最為常用的安全對稱加密算法，關於對稱加密這裡就不在闡述了。

AES 有三種算法，主要是對數據塊的大小存在區別：

AES-128：需要提供 16 位的密鑰 key

AES-192：需要提供 24 位的密鑰 key

AES-256：需要提供 32 位的密鑰 key

AES 是按數據塊大小（128/192/256）對待加密內容進行分塊處理的，會經常出現最後一段數據長度不足的場景，這時就需要填充數據長度到加密算法對應的數據塊大小。

主要的填充算法有填充 NUL(“0”) 和 PKCS7，Mcrypt 默認使用的 NUL(“0”) 填充算法，當前已不被推薦，OpenSSL 則默認模式使用 PKCS7 對數據進行填充並對加密後的數據進行了 base64encode 編碼，所以建議開發中使用 PKCS7 對待加密數據進行填充，已保證通用性（alipay sdk 中雖然使用了 Mcrypt 加密簇，但使用 PKCS7 算法對數據進行了填充，這樣在一定程度上親和了 OpenSSL 加密算法）。

Mcrypt 的默認填充算法。NUL 即為 Ascii 表的編號為 0 的元素，即空元素，轉移字符是 “\0″，PHP 的 pack 打包函數在 ‘a’ 模式下就是以 NUL 字符對內容進行填充的，當然，使用 “\0” 手動拼接也是可以的。

OpenSSL的默認填充算法。下面我們給出 PKCS7 填充算法 PHP 的實現：

默認使用 NUL(“\0”) 自動對待加密數據進行填充以對齊加密算法數據塊長度。

獲取 mcrypt 支持的算法，這裡我們只關注 AES 算法。

注意：mcrypt 雖然支持 AES 三種算法，但除 MCRYPT_RIJNDAEL_128 外， MCRYPT_RIJNDAEL_192/256 並未遵循 AES-192/256 標準進行加解密的算法，即如果你同其他系統通信（java/.net），使用 MCRYPT_RIJNDAEL_192/256 可能無法被其他嚴格按照 AES-192/256 標準的系統正確的數據解密。官方文檔頁面中也有人在 User Contributed Notes 中提及。這裡給出如何使用 mcrpyt 做標註的 AES-128/192/256 加解密

即算法統一使用 MCRYPT_RIJNDAEL_128 ，並通過 key 的位數來選定是以何種 AES 標準做的加密，iv 是建議添加且建議固定為16位（OpenSSL的 AES加密 iv 始終為 16 位，便於統一對齊），mode 選用的 CBC 模式。

mcrypt 在對數據進行加密處理時，如果發現數據長度與使用的加密算法的數據塊長度未對齊，則會自動使用 “\0” 對待加密數據進行填充，但 “\0” 填充模式已不再被推薦，為了與其他系統有更好的兼容性，建議大家手動對數據進行 PKCS7 填充。

openssl 簇加密方法更為簡單明確，mcrypt 還要將加密算法分為 cipher + mode 去指定，openssl 則只需要直接指定 method 為 AES-128-CBC，AES-192-CBC，AES-256-CBC 即可。且提供了三種數據處理模式，即默認模式 0 / OPENSSL_RAW_DATA / OPENSSL_ZERO_PADDING 。

openssl 默認的數據填充方式是 PKCS7，為兼容 mcrpty 也提供處理 “0” 填充的數據的模式，具體為下：

options 參數即為重要，它是兼容 mcrpty 算法的關鍵：

options = 0 : 默認模式，自動對明文進行 pkcs7 padding，且數據做 base64 編碼處理。

options = 1 : OPENSSL_RAW_DATA，自動對明文進行 pkcs7 padding，且數據未經 base64 編碼處理。

options = 2 : OPENSSL_ZERO_PADDING，要求待加密的數據長度已按 “0” 填充與加密算法數據塊長度對齊，即同 mcrpty 默認填充的方式一致，且對數據做 base64 編碼處理。注意，此模式下 openssl 要求待加密數據已按 “0” 填充好，其並不會自動幫你填充數據，如果未填充對齊，則會報錯。

故可以得出 mcrpty簇與 openssl簇的兼容條件如下：

建議將源碼複製到本地運行，根據運行結果更好理解。

1.二者使用的何種填充算法。

2.二者對數據是否有 base64 編碼要求。

3.mcrypt 需固定使用 MCRYPT_RIJNDAEL_128，並通過調整 key 的長度 16, 24，32 來實現 ase-128/192/256 加密算法。

php openssl aes-256-cbc key長度自動匹配了128的長度，為什麼

byte數組本來就是一些char數據。直接用加密tool對比結果

解決方案二：

都是unsigned char，你需要循環轉換成16進制數字，然後輸出

php AES加密，怎樣用CTR加密模式

分組密碼有五種工作體制：1.電碼本模式（Electronic Codebook Book (ECB)）；2.密碼分組鏈接模式（Cipher Block Chaining (CBC)）；3.計算器模式（Counter (CTR)）；4.密碼反饋模式（Cipher FeedBack (CFB)）；5.輸出反饋模式（Output FeedBack (OFB)）。

以下逐一介紹一下：

1.電碼本模式（Electronic Codebook Book (ECB)

這種模式是將整個明文分成若干段相同的小段，然後對每一小段進行加密。

2.密碼分組鏈接模式（Cipher Block Chaining (CBC)）

這種模式是先將明文切分成若干小段，然後每一小段與初始塊或者上一段的密文段進行異或運算後，再與密鑰進行加密。

3.計算器模式（Counter (CTR)）

計算器模式不常見，在CTR模式中，有一個自增的算子，這個算子用密鑰加密之後的輸出和明文異或的結果得到密文，相當於一次一密。這種加密方式簡單快速，安全可靠，而且可以並行加密，但是在計算器不能維持很長的情況下，密鑰只能使用一次。

4.密碼反饋模式（Cipher FeedBack (CFB)）

這種模式較複雜。

5.輸出反饋模式（Output FeedBack (OFB)）

這種模式較複雜。

PHP 加密：AES & RSA

最近兩年一直從事與金融相關項目的開發與維護。但是，關於 PHP 加密解密的最佳實踐，網上沒有人給出一個完美的總結。恰逢最近看了《圖解密碼技術》一書，對 PHP 加解密有了更深刻的認識。

為了避免各位看枯燥的文字理論，開篇我就把總結給出：

一、對稱加密

對稱加密的特點是加解密速度快，加密後的密文強度目前還沒有硬解的可能性。但是，在未來隨着計算機性能的提升有可能會出現被破解的可能性。

對稱加密的缺點也很明顯。對稱加密的加密過程與解密過程使用的是同一把密鑰。一旦泄漏密鑰，加密就失去了任何意義。

根據《圖解密碼技術》一書的推薦，對稱加密目前推薦使用 AES。在 PHP 當中要實現 AES 加解密，是使用 openssl 擴展來實現。所以，請確保你的 PHP 已經開啟了 openssl 擴展。

可以通過如下方式檢測：

或者如下方式檢測：

AES 的加密模式屬於分組密碼模式。所謂分組密碼，是加密時把明文按照固定的長度分組，然後再進行加密。當然，細節之處很很多不同。AES 分組模式有多種：ECB、CBC、CFB、OFB、CTR 五種分組模式。目前優先推薦使用 CBC 模式。

如果使用 CBC 模式，那麼在加密的時候，就需要一個前置的加密向量 IV。當初博主在使用 AES 來加密的時候，就很奇怪一個對稱加密為何要這個向量。因為，在博主寒冰的潛意識裡，對稱加密只需要一個密鑰就 Ok 了。沒想到 AES 加密還有多種模式，而這個 CBC 模式恰恰就需要一個這樣的向量值。關於這個向量大家可以在網上查閱相關的資料。這個東西非常重要，也非常好理解。

關於 PHP AES 加解密會用到的相關方法：

AES 支持三種強度：128、192、256。128 位的強度最低，但是，加密解密速度較快。256 位強度最高，但是，加密解密速度最低。所以，大家根據自己系統的重要程度選擇使用對應強度。通常普通的金融項目使用 192 位完整夠用了。頂級的就用 256 位。其他的就用 128 位吧。

二、非對稱加密

非對稱加密是指公鑰加密私鑰解密，私鑰加密公鑰解密的算法。非對稱加密的算法有很多。《圖解密碼技術》一書推薦使用 RSA 算法。它使用起來也非常簡單。

要使用 RSA 算法。首先，我們必須生成一對公鑰私鑰。其實生成公鑰私鑰很簡單。

在 Linux 系統，直接使用如下命令生成：

此命令會生 ~/.ssh/ 目錄下生成兩個文件：

id_rsa 是私鑰， is_rsa.pub 是公鑰。

關於 PHP RSA 加解密會用到的相關方法：

以上就是關於在 PHP 項目開發中，我們使用的加密解密算法的一個總結。博主寒冰在總結過程中難免會有不足之處，還請大家指正！謝謝！

原創文章，作者：小藍，如若轉載，請註明出處：https://www.506064.com/zh-hant/n/310154.html