openssl_open
(PHP 4 >= 4.0.4, PHP 5, PHP 7, PHP 8)
openssl_open — シール(暗号化)されたデータをオープン(復号)する
説明
string
$data
,#[\SensitiveParameter] string
&$output
,string
$encrypted_key
,#[\SensitiveParameter] OpenSSLAsymmetricKey|OpenSSLCertificate|array|string
$private_key
,string
$cipher_algo
,?string
$iv
= null
): bool
openssl_open() は、 private_key
を使用して
encrypted_key
から復号されたエンベロープキーによって
data
をオープン(復号)します。
復号は cipher_algo
と iv
を使用して行なわれます。
IV は暗号方式が要求する場合にのみ必要です。復号されたデータは output
に
格納されます。エンベロープキーは通常、秘密鍵に関連付けられた公開鍵を用いてデータがシール(暗号化)
されたときに生成されます。
詳細は openssl_seal() を参照ください。
パラメータ
data
-
シール(暗号化)されたデータ。
output
-
成功した場合、オープンしたデータをこのパラメータに格納して返します。
encrypted_key
-
private_key
を用いて復号できる暗号化された対称鍵。 private_key
-
encrypted_key
の復号に用いられる秘密鍵。 cipher_algo
-
data
の復号に使用される暗号化方式。警告PHP 8.0 より前のデフォルト値 (
'RC4'
) は安全ではありません。 明示的にセキュアな暗号化方式を指定することを強く推奨します。 iv
-
data
の復号に用いられる初期化ベクトル。暗号方式が IV を要求する場合に必要です。 これはcipher_algo
で openssl_cipher_iv_length() を呼び出すことで確認できます。
変更履歴
バージョン | 説明 |
---|---|
8.0.0 |
private_key は、
OpenSSLAsymmetricKey または
OpenSSLCertificate クラスのインスタンスを受け入れるようになりました。
これより前のバージョンでは、
OpenSSL key または
OpenSSL X.509 CSR 型のリソースを受け入れていました。
|
8.0.0 |
cipher_algo は、
オプションではなくなりました。
|
例
例1 openssl_open() の例
<?php
// $sealed, $env_key および $iv に暗号化されたデータおよびエンベロープキーと
// IV が含まれていると仮定。すべてシール元(暗号化側)から与えられる。
// private_key.pem に置かれたファイルから秘密鍵を取得する
$pkey = openssl_get_privatekey("file://private_key.pem");
// データを復号化し、$open に保存
if (openssl_open($sealed, $open, $env_key, $pkey, 'AES256', $iv)) {
echo "Here is the opened data: ", $open;
} else {
echo "Failed to open data";
}
?>
User Contributed Notes 2 notes
PHP compiled without OpenSSL support? Here's how you can call the openssl command-line utility to achieve the same goal:
<?php
// $sealed and $env_key are assumed to contain the sealed data
// and our envelope key, both given to us by the sealer.
// specify private key file and passphrase
$pkey_file='key.pem';
$pkey_pp='netsvc';
// call openssl to decrypt envelope key
$ph=proc_open('openssl rsautl -decrypt -inkey '.
escapeshellarg($pkey_file).' -passin fd:3',array(
0 => array('pipe','r'), // stdin < envelope key
1 => array('pipe','w'), // stdout > decoded envelope key
2 => STDERR,
3 => array('pipe','r'), // < passphrase
),$pipes);
// write envelope key
fwrite($pipes[0],$env_key);
fclose($pipes[0]);
// write private key passphrase
fwrite($pipes[3],$pkey_pp);
fclose($pipes[3]);
// read decoded key, convert to hexadecimal
$env_key='';
while(!feof($pipes[1])){
$env_key.=sprintf("%02x",ord(fgetc($pipes[1])));
}
fclose($pipes[1]);
if($xc=proc_close($ph)){
echo "Exit code: $xc\n";
}
// call openssl to decryp
$ph=proc_open('openssl rc4 -d -iv 0 -K '.$env_key,array(
0 => array('pipe','r'), // stdin < sealed data
1 => array('pipe','w'), // stdout > opened data
2 => STDERR,
),$pipes);
// write sealed data
fwrite($pipes[0],$sealed);
fclose($pipes[0]);
// read opened data
//$open=stream_get_contents($pipes[1]);
$open='';
while(!feof($pipes[1])){
$open.=fgets($pipes[1]);
}
fclose($pipes[1]);
if($xc=proc_close($ph)){
echo "Exit code: $xc\n";
}
// display the decrypted data
echo $open;
?>
Example code, assume mycert.pem is a certificate containing both private and public key.
$cert = file_get_contents("mycert.pem");
$public = openssl_get_publickey($cert);
$private = openssl_get_privatekey($cert);
$data = "I'm a lumberjack and I'm okay.";
echo "Data before: {$data}\n";
openssl_seal($data, $cipher, $e, array($public));
echo "Ciphertext: {$cipher}\n";
openssl_open($cipher, $open, $e[0], $private);
echo "Decrypted: {$open}\n";