我正在使用 PHP 的 mcrypt 库和 AES-256 (rijndael) 算法,该算法需要密钥 + 初始化向量才能运行。
我的逻辑大脑并不真正同意这一点。 一把钥匙还不够吗?
理论场景:
如果我加密了存储在数据库中的敏感数据,只有所有者才能解密,那么将用户散列密码用于其数据的密钥或初始化向量是否合适?
是否应该认为密钥比初始化向量更私密,还是相反?
【问题讨论】:
标签: php security encryption cryptography mcrypt
不,事实上,IV 在大多数实现中都至关重要。 IV 也被认为对公众使用是安全的,例如 IV 以纯文本形式传输用于 WEP 和 WPA1/WPA2。当使用相同的密钥+iv 加密相同的纯文本时,就会出现问题。除非您使用 IV,否则密文将是相同的。如果攻击者可以用这个密钥加密任意明文,然后查看密文。这是暴力破解攻击者获得的其他密文的一种更快的方法。
不仅如此,IV 必须是随机的,否则您将违反CWE-329。这是一个问题的原因有点微妙和I didn't get it at first。你没有提到这一点,但我希望你使用CBC or CMAC modes
对密码使用散列函数几乎与使用 String2Key 函数相同。这是一个可靠的设计,只要攻击者不能使用 SQL 注入来获取密钥。
【讨论】:
CFC 与非随机IV 一起使用,我应该是安全的?
CBC 模式,IV 必须是随机的。在数据库中,您可以有一个 iv 列并使用 mt_rand() 生成此数字。
初始化向量 (IV) 根本不是密钥,也不是秘密。事实上,它经常被暴露(例如,添加到加密数据中)。它用作加密算法的附加随机输入,因此每次使用不同的 IV 时,加密相同的明文数据的结果都不同。这样,就无法收集加密数据的统计信息。它本身并不会“提高”加密强度。
您可以查看here 以获取显示如何以及为何使用 IV 的精美图表。
【讨论】:
不要将散列密码用作密钥和 IV 的单一来源。根据经验,您应该在每次更新加密数据并使用此数据存储 IV 时生成随机 IV。密钥可以重复使用多次,但也可以使用加盐哈希并将盐存储在数据中。
如果您只是对用户密码进行哈希处理并将其用作加密密钥,则具有相同密码的用户将拥有相同的密钥。根据您的数据库结构和入侵者访问权限,可能会检测到具有相同密码的用户。至少向此哈希添加唯一的用户名。
如果您不为每次数据更新更改 IV,则有关数据更改的信息可能会泄露。在 CBC 或 CFB 模式下,相同的第一个明文块将被加密为相同的密文,直到第一个明文发生变化,因此可以确定这个变化的位置。
【讨论】:
如果您使用分组密码或大多数流密码的 EBP 模式,不同明文上的相同密钥+IV 组合将使攻击者直接查看密钥的 XOR 结果。这通过扩展揭示了密钥本身,并在某种程度上揭示了密码。
但我的意思是说静脉注射绝对是必要的吗?不。只要您每次在下一个明文块(甚至是第二次相同的块)上都更改密码,没有 IV 就完全没问题。事实上,IV 所做的只是上述过程的自动化。
【讨论】: