ゼロファクトリーで働くスタッフ(ウェブデザイナー・プログラマー)のブログ

2010年02月24日

PHPで簡単暗号化

中学の頃、エドガー・アラン・ポーの「黄金虫」を読んで以来、暗号（とその解読）にすっかり魅せられたYT@ゼロファクトリーです。

まーこの「黄金虫」という小説は、頭の良いおっさんが、キャプテン・キッドの財宝を記した暗号が書かれた羊皮紙を偶然見つけて、暗号を解読し、お宝を発見するストーリーです。
肝心の暗号解読の部分は、「おやおや、君は暗号の話しですっかり退屈してしまったようだねえ」とそれ以降の謎解きを省略してしまうので、実につまらない。
ぼくは頑張って省略された部分もちゃんと解読してみました。懐かしい。

さて。
暗号というのは、この情報社会ではなくてはならないものになりました。
無線通信のWEPもそうだし、ターミナルでサーバに命令するときのSSHもそう、ショッピングなんかするときのSSLもそうですね。

銀行その他で、パスワードをデータベースに含める場合も、平文のまま保存することはまずなく、単一方向に暗号化して保存します。
照会するときは、ユーザーの入力を同様にして単一方向で暗号化し、すでに暗号化されたパスワードと見比べる、というのは最低限、どこでもやってます。
だから管理者もユーザーのパスワードがわからないようになってますね。

しかし。
この単一方向暗号化は、元の平文が割れにくいという点ではいいんですが、やはり複号して平文をゲットしたい局面も多々あるものです。
もちろん複号できる暗号化のルーチンもたくさんある（3DESとかPGPとか、複数鍵方式のRSAとか）のですが、そこまでおおげさなことせんでも、ちょっとわかりにくくしたい、というだけなら、太古の昔より洗練されてきた暗号法をちょっぴり応用するだけで、どんな処理系でもできます。
PHPの場合だと、PEAR::BlowfishとかMcryptとか別途モジュールを導入しないといけないので、めんどくさいですしね。

というわけで。
今回はPHPで文字列を簡単暗号化してみようという、たまには技術的な内容でお送りする企画です。

ポイントとしては、mb_convert_encoding()とか、ord()とか、chr() とかどんな処理系にもあるような一般的な組み込み関数のみ利用してます。汎用性は高い。

平文：

・・・というシェイクスピアの「お気に召すまま」のセリフを暗号化します。

まずこれを mb_convert_encoding() でEUC-JPに変換→base64encode()でエンコードします。
なんでEUCにするのかというと、UTF-8のままだと以前うまく動かなかったんですよねぇ・・・？
base64エンコードは、PHPはデフォで使えますが、使えない処理系でも、RFC-2045だかなんだかで定義されてるので探せばライブラリが必ずあります。

でまぁ、これをエンコードした結果はこれ。（１）
長いので改行してますが、1行です。

次にこれを1文字づつASCIIコードに変換して3桁ゼロスタンプします。
PHPの場合は一文字づつ ord() してください。

（２）

次に暗号化の鍵を決めます。適当な文字列で。

暗号鍵：

これも同様に base64encode() →（１）と同じ長さになるように繰り返して連結→1バイトづつ ord() します。

（３）

次に（２）の数字と（３）の数字を一桁づつ足していきます。
その際に10を超える場合は、10引いてください。
要するに、2+3は5のままでいいですが、7+8は15でなく5と計算してください。
そうすると桁数は（２）または（３）と全く同じ別の数字が出てきます。

（４）

次にこれを今度は3桁づつ取り出し、chr()を使って、ASCIIコードから通常の文字列に変換。
なんか変なバイナリデータになりますが、だいじょーぶ！（PHPの場合は）
これを再びbase64encode()します。

暗号文：

はい、これで暗号化ができました！

複号する時はこれを逆に辿るだけで良いので簡単です。
まず、暗号文を base64decode() →1バイトづつ ord() します。

（５）

これが、（４）と同じものにならないときはどっか間違えてます。デバッグ、デバッグぅ。(笑)
次に暗号鍵から、長さを揃えて、（３）と同じ数字をもっかい作ってください。

（３）再掲

次に！
再びこの（５）と（３）を1桁づつ計算するわけですが、今度は足すのではなく引いてください。
当然さっきとは逆で、マイナスになる場合は10足してください。

（６）

これが（２）と同じになってない場合は、やはりどっか間違えてます。デバッグ、デバ（ｒｙ

次にこれを3桁づつ chr() → base64decode() → mb_convert_encoding() でEUC-JPから元の文字コードに変換します。

（７）

元の平文がゲットできましたかー？
できた方、おめでとうございます！
後はこれを基本として、間に複雑な文字列変換処理を入れれば、その暗号ルーチンはどんどん強化されていきます。
できてない方はデバッグ、デバ（ｒｙ

最後に、こういう簡易暗号化の良い点と悪い点についても述べておきます。

良い点：
* 安全度の高い3DESとか使うよりは処理が速い。(･∀･)
* PHP以外の処理系にも十分応用が効く。(･∀･)
* ショボイとは言え独自ルーチンなためパスワード総当りアタックにも強い。(･∀･)
* お望みとあらば画像だってなんだって、base64エンコードできるものならなんでも暗号化できます。(･∀･)

悪い点：
* なにしろショボイのですぐ解読される恐れも十分ある。('A`)
そもそも、最後の暗号文を見ればbase64エンコードしてるのがバレバレである点。(´；ω；`)

従って使いどころとしては、万が一のデータ流出の際、被害拡大を防ぐため、個人情報を一部簡易暗号化するとか。
クッキーに生データ突っ込みたくない場合とか。

・・・そんなときにくらいしかないですけどねー。(笑)
もうだいぶん長くなったので、実際のコードまで載せないですけど、ご要望があれば次のエントリーにでも。
ではでは。

Posted by YT@ゼロファクトリー : 2/24 | コメント (0)