Instalação
Artigos
Cursos
Loja
INSTALAÇÃO
ARTIGOS
CURSOS
EBOOKS
DOWNLOADS
LOJA
ARTIGOS
Libsodium para criptografia de última geração em PHP
Sodium é uma biblioteca de fácil utilização para criptografia, assinaturas, password hash.
## Introdução [Fonte](https://download.libsodium.org/doc/) Sodium é uma biblioteca moderna, fácil de usar para: * criptografia * descriptografia * assinaturas * hash de senhas * outros Sodium é multi plataformas e multi linguagens, ela executa em diversos compiladores e sistemas operacionais. O seu objetivo é fornecer as principais operações para construir ferramentas criptográficas de alto nível. ### Multi plataforma Ao se afirmar multi plataforma a libsodium quer dizer que uma mensagem pode ser criptografada em PHP e ser descriptografada em Python ou suas assinaturas serem verificadas em um aplicativo de um iPhone escrito em Swift. Os algoritmos disponíveis são idênticos em todas as plataformas suportadas. <a target="php_window" href="https://www.php.com.br/22"><img style="width:100%;border: 2px dotted #7caaff;" src="images/pablo/prop1.png"></a> ## Instalação > Versões 7.2 ou superior do PHP incluem a extensão Sodium como biblioteca de criptografia. Existe um [projeto no github](https://github.com/paragonie/sodium_compat) que se propõe a dar suporte a libsodium em versões antigas do php. Paras versões do PHP que já tenham a extensão libsodium habilitada ainda é necessário instalar o pacote específico, afim de ter acesso a todas as funcionalidades. **Libsodium** Ambientes linux ```bash $ sudo apt-get install libsodium-dev ``` Se você estiver usando uma distribuição antiga e ainda não tem acesso a este pacote é necessário instalar um PPA específico: - [https://answers.launchpad.net/~chris-lea/+archive/ubuntu/libsodium](https://answers.launchpad.net/~chris-lea/+archive/ubuntu/libsodium) - [https://launchpad.net/~anton+/+archive/ubuntu/dnscrypt](https://launchpad.net/~anton+/+archive/ubuntu/dnscrypt) --- Ambientes Windows O primeiro passo é fazer o download da [versão apropriada para o seu PHP](https://windows.php.net/downloads/pecl/releases/libsodium/1.0.2/). Com o arquivo descompactado é necessário: 1. Copie o arquivo `libsodium.dll` no `SYSTEM32` ou no mesmo diretório que o `php.exe` 2. Copie o arquivo `php_libsodium.dll` para o diretório de extensões, esse diretório normalmente fica na pasta `ext/` do local que contém o arquivo `php.exe`. 3. Adicione `extension=php_libsodium.dll` no seu `php.ini`. ### Verificar a instalação Depois de instalar a biblioteca e a extensão do PHP execute o seguinte script afim de verificar se a instalação se deu de maneira correta: ```php <?php var_dump( [ SODIUM_LIBRARY_MAJOR_VERSION, SODIUM_LIBRARY_MINOR_VERSION, SODIUM_LIBRARY_VERSION ] ); ``` O resultado esperado é o seguinte: ```php array (size=3) 0 => int 10 1 => int 1 2 => string '1.0.16' ``` ## Como criptografar uma mensagem usando uma chave secreta Primeiro vou mostrar como é o funcionamento básico de uma troca de mensagens criptografada: ```php <?php // Gerando uma chave criptografada $key = random_bytes(SODIUM_CRYPTO_SECRETBOX_KEYBYTES); // Criando um número único para a critografia $nonce = random_bytes(SODIUM_CRYPTO_SECRETBOX_NONCEBYTES); // Usando a chave para criptografar a informação $mensagemCifrada = sodium_crypto_secretbox('Mensagem criptografada.', $nonce, $key); /** * ..A MENSAGEM É ENVIADA.. */ $conteudo = sodium_crypto_secretbox_open($mensagemCifrada, $nonce, $key); if ($conteudo === false) { var_dump("ERRO"); } echo $conteudo; ``` **Alguns conceitos:** **$key →** é uma chave secreta, não uma senha. Uma mesma chave é usada tanto para criptografar quando descriptografar, por esse motivo é essencial que ela permaneça confidencial. **$nonce →** é um valor único. Não precisa ser confidencial e pode ser enviado junto com a mensagem. Ele apenas deve ser único for um valor de uma chave, e nunca deve ser reutilizado. > Uma mensagem pode ser criptografada usando a mesma $key, mas usando dois nonces diferentes e serão produzidas duas cifras totalmente diferentes. Para criptografar uma mensagem usando a função `sodium_crypto_secretbox` tanto a `$key` como o `$nonce` precisam ter um tamanho determinado e a maneira mais prática de gerá-los é usando a função `random_bytes` conforme demonstrado no exemplo acima. As constantes informadas na invocação da função `random_bytes` são constantes da extensão libsodium e são elas que criam o retorno do tamanho correto. Para descriptografar uma mensagem é necessário usar a mesma `$key` e `$nonce` usados para criptografar, como mencionado anteriormente o `$nonce` pode ser enviado junto com a mensagem cifrada. A `$key` por sua vez, deve ser conhecida para os que a comunicação interessa. <a target="php_window" href="https://www.php.com.br/22"><img style="width:100%;border: 2px dotted #7caaff;" src="images/pablo/prop2.png"></a> ### Criptografia baseada em chave pública A criptografia baseada em chaves secretas tem como característica que os participantes da conversa tenham a mesma chave secreta. Essa chave permite criptografar e descriptografar mensagens. Portanto pelo menos uma vez é necessário compartilhar a chave secreta depois da sua criação. Por sua vez, a criptografia baseada em chaves públicas tem como premissa que a chave secreta nunca deve ser compartilhada. A criptografia baseada em chaves públicas funciona da seguinte maneira, todos os participantes geram um parde chaves, pública + privada. A chave pública pode ser compartilhada livremente, no entanto a chave privada deve permanecer em sigilo. A criptografia das mensagens é feita usando a chave privada de quem envia a mensagem + a chave pública de quem recebe. A descriptográfia da mensagem é feita com a chave públida de quem enviou + a chave privada de quem recebe. > Antes de estabelecer uma comunicação usando chaves públicas é necessário que cada participante gere um par de chaves! O código abaixo demonstra uma comunicação entre duas pessoas usando a criptografia baseada em chaves públicas. Mesmo sendo um script corrido imagine que a comunicação está estabelecida entre dois computadores e os dados são enviados de um para outro, por um web service por exemplo. ```php <?php // No computador do pedro // Ele gera o seu par de chaves $par_chaves_pedro = sodium_crypto_box_keypair(); // Divide as chaves para facilitar o uso $chave_secreta_pedro = sodium_crypto_box_secretkey($par_chaves_pedro); $chave_publica_pedro = sodium_crypto_box_publickey($par_chaves_pedro); ##### // No computador da maria // Ela chaga o seu par de chaves $par_chaves_maria = sodium_crypto_box_keypair(); // Split the key for the crypto_box API for ease of use $chave_secreta_maria = sodium_crypto_box_secretkey($par_chaves_maria); $chave_publica_maria = sodium_crypto_box_publickey($par_chaves_maria); ##### // No computador do pedro $mensagem = 'Oi, aqui é o pedro'; $chaves_pedro_para_maria = sodium_crypto_box_keypair_from_secretkey_and_publickey( $chave_secreta_pedro, $chave_publica_maria ); $nonce = random_bytes(SODIUM_CRYPTO_BOX_NONCEBYTES); $mensagem_cifrada = sodium_crypto_box( $mensagem, $nonce, $chaves_pedro_para_maria ); ##### // No computador da maria $chaves_maria_para_pedro = sodium_crypto_box_keypair_from_secretkey_and_publickey( $chave_secreta_maria, $chave_publica_pedro ); $mensagem = sodium_crypto_box_open( $mensagem_cifrada, $nonce, $chaves_maria_para_pedro ); if ($mensagem === false) { throw new Exception("Mensagem inválida"); } echo $mensagem; ``` ## Assinaturas com chaves públicas Assinaturas de chaves públicas é uma técnica muito interessante e útil. Ela pode ser usada para verificar a autenticidade de uma mensagem. A ideia de usar essa função é validar que a mensagem que você recebeu realmente veio do remetente. O uso mais simples de assinaturas com chaves públicas seria, uma pessoa A assina uma mensagem com a sua chave privada e outra pessoa B que recebe a comunicação verificar com a chave pública de A se foi ela quem realmente enviou a mensagem. Veja o exemplo abaixo para entender melhor: ```php <?php // No computador do pedro // Ele gera um par de chaves para assinatura $chaves_assinatura_pedro = sodium_crypto_sign_keypair(); // Divida as chaves de assinatura facilitando o uso $chave_secreta_assinatura_pedro = sodium_crypto_sign_secretkey($chaves_assinatura_pedro); $chave_publica_assinatura_pedro = sodium_crypto_sign_publickey($chaves_assinatura_pedro); $mensagem = 'Esta mensagem foi enviada pelo pedro.'; $mensagem_assinada = sodium_crypto_sign( $mensagem, $chave_secreta_assinatura_pedro ); ##### // No computador da maria $mensagem = sodium_crypto_sign_open( $mensagem_assinada, $chave_publica_assinatura_pedro ); if ($mensagem === false) { throw new Exception("Invalid signature"); } else { echo $mensagem; // Displays "This comes from Alice." } ``` <a target="php_window" href="https://www.php.com.br/22"><img style="width:100%;border: 2px dotted #7caaff;" src="images/pablo/prop3.png"></a>
COMENTE SOBRE
