OpenSSL加密文件格式解析
在使用openssl命令行工具(如openssl enc)进行加密时,尤其是当使用密码派生函数(如pbkdf2)时,openssl会采用一种特定的、非标准的文件格式来存储加密数据。了解这种格式是php端成功解密的关键。
该格式的结构如下:
- 魔术字符串 Salted__: 文件的前8个字节固定为ASCII字符串 Salted__。这是一个标识符,表明文件使用了OpenSSL的盐值加密格式。
- 盐值(Salt): 紧随魔术字符串之后的8个字节是实际用于密钥派生函数的盐值。这个盐值是随机生成的,并与加密数据一起存储,以确保即使使用相同的密码,每次加密的结果也不同,从而增强安全性。
- 密文(Ciphertext): 盐值之后的所有数据才是真正的加密内容。
因此,在PHP中解密时,第一步便是读取整个加密文件内容,然后从其头部精确地提取出这8字节的盐值。
密钥与IV的派生机制
OpenSSL在加密过程中,并不会直接使用用户提供的密码作为密钥。相反,它会结合密码和盐值,通过一个密钥派生函数(Key Derivation Function, KDF)来生成一个足够长的密钥材料,从中截取出实际的加密密钥(Key)和初始化向量(IV)。本例中,OpenSSL使用了PBKDF2(Password-Based Key Derivation Function 2)。
在PHP中,openssl_pbkdf2函数用于执行PBKDF2操作。一个常见的误解是该函数只返回密钥,但实际上,它返回的是一个拼接了密钥和IV的字符串。我们需要根据加密算法(AES-256-CBC)的特性来计算所需的密钥长度和IV长度,然后从openssl_pbkdf2的输出中正确地截取它们:
立即学习“PHP免费学习笔记(深入)”;
- 密钥长度: AES-256算法的密钥长度是256位,即32字节。
- IV长度: AES-256-CBC模式的IV长度是128位,即16字节。可以通过openssl_cipher_iv_length('aes-256-cbc')函数动态获取。
因此,openssl_pbkdf2的key_length参数应设置为 32 + 16 = 48 字节。函数返回的48字节字符串中,前32字节是密钥,后16字节是IV。
此外,PBKDF2的安全性高度依赖于迭代次数(iterations)和摘要算法(digest_algo)的选择。根据NIST(美国国家标准与技术研究院)的建议,迭代次数应尽可能大,通常至少10,000次,以增加暴力破解的成本。摘要算法应选择安全的哈希函数,如SHA-3(sha3-256)。
PHP解密实现步骤
基于上述对OpenSSL加密文件格式和密钥派生机制的理解,PHP解密的具体步骤如下:
- 读取加密文件内容: 将整个加密文件读取到内存中。
- 提取盐值: 从文件内容的第9个字节开始,提取连续的8个字节作为盐值。
- 派生密钥和IV: 调用openssl_pbkdf2函数,传入用户密码、提取出的盐值、计算出的总长度(48字节)、正确的迭代次数(例如10000)和摘要算法(例如sha3-256),获取派生出的密钥材料。
- 分离密钥和IV: 从派生出的密钥材料中,前32字节作为加密密钥,后16字节作为初始化向量。
- 准备密文: 从原始文件内容中,跳过前16个字节(Salted__魔术字符串和8字节盐值),剩余部分即为纯粹的密文。
- 执行解密: 调用openssl_decrypt函数,传入准备好的密文、加密算法(aes-256-cbc)、密钥和IV,即可得到原始的明文数据。
完整PHP解密代码示例
以下是实现上述解密过程的PHP代码:
<?php
/**
* 解密OpenSSL AES-256-CBC PBKDF2加密的文件
*
* @param string $encryptedFilePath 加密文件的路径
* @param string $password 用于加密的密码
* @return string|false 解密后的明文内容,失败返回false
*/
function decryptOpenSslAes256CbcPbkdf2(string $encryptedFilePath, string $password)
{
// 1. 读取加密文件内容
$content = file_get_contents($encryptedFilePath);
if ($content === false) {
error_log("无法读取加密文件: " . $encryptedFilePath);
return false;
}
// 检查文件是否足够长以包含Salted__头部和盐值
if (mb_strlen($content, '8bit') < 16) {
error_log("加密文件内容过短,不符合OpenSSL格式。");
return false;
}
// 验证OpenSSL的Salted__头部
$header = mb_substr($content, 0, 8, '8bit');
if ($header !== 'Salted__') {
error_log("文件头部不包含'Salted__'标识,可能不是OpenSSL加密文件。");
return false;
}
// 2. 提取盐值 (Salt)
// Salted__ (8 bytes) + Salt (8 bytes) = 16 bytes
$salt = mb_substr($content, 8, 8, '8bit');
// 定义加密算法和相关参数
$cipherAlgo = 'aes-256-cbc';
$keyLength = 32; // AES-256 密钥长度为 32 字节 (256 位)
$ivLength = openssl_cipher_iv_length($cipherAlgo); // AES-256-CBC IV 长度为 16 字节 (128 位)
// PBKDF2 派生总长度 = 密钥长度 + IV长度
$derivationLength = $keyLength + $ivLength;
// 推荐的迭代次数 (NIST SP 800-63B 建议至少 10,000)
$iterations = 10000;
// 推荐的摘要算法 (NIST 建议使用批准的哈希函数,如 SHA-3)
$digestAlgo = 'sha3-256';
// 3. 派生密钥和IV
// openssl_pbkdf2 返回的是 Key 和 IV 的拼接
$derivedKeyMaterial = openssl_pbkdf2(
$password,
$salt,
$derivationLength,
$iterations,
$digestAlgo
);
if ($derivedKeyMaterial === false) {
error_log("PBKDF2密钥派生失败。");
return false;
}
// 4. 分离密钥和IV
$key = mb_substr($derivedKeyMaterial, 0, $keyLength, '8bit');
$iv = mb_substr($derivedKeyMaterial, $keyLength, $ivLength, '8bit');
// 5. 准备密文
// 密文从文件内容的第 16 个字节开始
$cipherText = mb_substr($content, 16, encoding: '8bit');
// 6. 执行解密
$decryptedData = openssl_decrypt(
$cipherText,
$cipherAlgo,
$key,
OPENSSL_RAW_DATA, // 使用原始二进制数据
$iv
);
if ($decryptedData === false) {
error_log("openssl_decrypt 解密失败。错误信息: " . openssl_error_string());
return false;
}
return $decryptedData;
}
// 示例用法:
$encryptedFile = 'crypt'; // 假设加密文件名为 'crypt'
$password = 'MYPASSWORD'; // 与加密时使用的密码一致
$decryptedContent = decryptOpenSslAes256CbcPbkdf2($encryptedFile, $password);
if ($decryptedContent !== false) {
echo "解密成功,内容为: " . $decryptedContent . PHP_EOL;
} else {
echo "解密失败!" . PHP_EOL;
}
?>代码详解与注意事项
- file_get_contents('crypt'): 用于读取整个加密文件的二进制内容。确保文件路径正确。
-
mb_substr($content, offset, length, '8bit'): 这是一个关键函数。由于加密数据是二进制的,直接使用substr可能会因多字节字符集而导致错误。mb_substr并指定'8bit'编码可以确保按字节精确截取,这对于处理二进制数据至关重要。
- $salt = mb_substr($content, 8, 8, '8bit');:从文件内容的第9个字节(索引8)开始,截取8个字节作为盐值。
- $cipherText = mb_substr($content, 16, encoding: '8bit');:从文件内容的第17个字节(索引16)开始,截取剩余所有内容作为密文。
-
openssl_pbkdf2() 参数:
- $password:用于加密的原始密码。
- $salt:从加密文件头部提取的8字节盐值。
- $key_length: 48:这是最容易出错的地方。它不是指最终密钥的长度,而是指openssl_pbkdf2函数要派生出的总字节数。对于AES-256-CBC,需要32字节的密钥和16字节的IV,所以总长为48字节。
- $iterations: 10000:迭代次数。根据NIST SP 800-63B标准,建议至少10,000次。迭代次数越多,破解难度越大,但计算时间也越长。
- $digest_algo: 'sha3-256':摘要算法。选择强度高的哈希算法,如sha3-256。
-
密钥和IV的分离:
- $key = mb_substr($derivatedKey, 0, 32, '8bit');:从openssl_pbkdf2的输出中截取前32字节作为AES密钥。
- $iv = mb_substr($derivatedKey, 32, openssl_cipher_iv_length('aes-256-cbc'), '8bit');:从第33个字节(索引32)开始,截取IV长度的字节作为IV。openssl_cipher_iv_length('aes-256-cbc')动态获取IV长度,确保兼容性。
-
openssl_decrypt() 参数:
- $cipherText:去除头部盐值后的纯密文。
- 'aes-256-cbc':加密算法,必须与加密时使用的算法一致。
- $key:派生出的32字节密钥。
- OPENSSL_RAW_DATA:这是一个可选的标志,指示openssl_decrypt函数返回原始二进制数据,而不是base64编码的数据。这通常是处理文件内容时的默认需求。
- $iv:派生出的16字节IV。
- 错误处理: 在实际应用中,务必对file_get_contents、openssl_pbkdf2和openssl_decrypt的返回值进行检查,因为它们在失败时会返回false。通过error_log或异常处理机制记录错误,有助于调试和提高程序的健壮性。
总结
在PHP中解密由OpenSSL命令行工具使用AES-256-CBC和PBKDF2加密的文件,其核心在于理解OpenSSL特有的文件格式,即盐值(Salt)被嵌入在加密数据头部。通过正确地提取盐值,并利用openssl_pbkdf2函数基于密码和盐值派生出正确的密钥(Key)和初始化向量(IV),再结合openssl_decrypt函数,即可成功还原原始明文。遵循NIST关于PBKDF2迭代次数和摘要算法的建议,可以显著增强解密过程的安全性。
