【PHP8.x】Phar::SHA256定数の使い方

Copy
1<?php
2
3/**
4 * Phar::SHA256 定数の利用例と、SHA256ハッシュの生成方法を示します。
5 *
6 * Phar::SHA256 は、Pharアーカイブの署名アルゴリズムとしてSHA256を指定するための整数定数です。
7 * 一般的なデータのSHA256ハッシュ生成には、PHPの hash() 関数を使用します。
8 */
9function demonstrateSha256Hashing(): void
10{
11    // Phar::SHA256 定数の値を出力します。
12    // この定数は、Pharアーカイブの署名にSHA256アルゴリズムを使用することを示す整数値です。
13    echo "Phar::SHA256 定数の値: " . Phar::SHA256 . PHP_EOL;
14
15    // キーワード「sha256 encryption」に関連し、一般的なデータのSHA256ハッシュを生成します。
16    // SHA256は一方向性のハッシュ関数であり、厳密な意味での「暗号化」とは異なりますが、
17    // データの整合性検証やパスワードの保存などに広く利用されます。
18    $dataToHash = "システムエンジニアを目指す初心者向けのデータです。";
19    $sha256Hash = hash('sha256', $dataToHash);
20
21    echo "元のデータ: " . $dataToHash . PHP_EOL;
22    echo "SHA256ハッシュ値: " . $sha256Hash . PHP_EOL;
23}
24
25// サンプル関数を実行して動作を示します。
26demonstrateSha256Hashing();
27

PHPのPhar::SHA256は、Pharアーカイブという特定の形式のファイルにおいて、データの改ざんがないことを保証するための「署名」にSHA256アルゴリズムを使用することを指定する整数定数です。この定数自体は引数を持ちませんが、その値は整数型（int）として扱われます。サンプルコードでは、このPhar::SHA256定数の具体的な整数値を出力しています。

また、この定数の名前にも含まれるSHA256は、一般的なデータに対しても広く利用される一方向性のハッシュ関数です。これは、入力されたデータから固定長の文字列（ハッシュ値）を生成しますが、ハッシュ値から元のデータを復元することはできません。そのため、厳密な意味での「暗号化」とは異なりますが、データの整合性を検証したり、パスワードを安全に保存したりする用途で非常に重要です。サンプルコードでは、hash('sha256', '文字列')というPHPの組み込み関数を使って、任意の文字列からSHA256ハッシュ値を生成する方法を示しています。これにより、データの改ざんを検知できる強力なツールとして活用できます。

Copy
1<?php
2
3// このスクリプトは、Pharアーカイブを作成し、SHA256アルゴリズムとRSA鍵ペアを使用して署名し、
4// その後、署名を検証する方法を示します。
5// システムエンジニアを目指す初心者向けに、Phar::SHA256定数の使用例と、
6// "sha256withrsa"というキーワードに関連するデジタル署名の基本的な概念を体験できるように設計されています。
7
8// 必要なPHP拡張機能がロードされているか確認します。
9// Phar拡張はPharアーカイブの操作に、OpenSSL拡張は鍵ペアの生成と署名に使用されます。
10if (!extension_loaded('phar')) {
11    echo "エラー: Phar拡張がロードされていません。\n";
12    exit(1);
13}
14if (!extension_loaded('openssl')) {
15    echo "エラー: OpenSSL拡張がロードされていません。\n";
16    exit(1);
17}
18
19/**
20 * Pharアーカイブの作成、RSA/SHA256署名、および検証を行う単一関数。
21 * 
22 * この関数は、一時ディレクトリを作成し、サンプルファイル、RSA鍵ペア、
23 * 署名付きPharアーカイブを生成し、その後検証を行い、最後にクリーンアップします。
24 */
25function createAndVerifySignedPhar(): void
26{
27    // 一時ディレクトリをシステムの一時ファイルパスに作成します。
28    // uniqid() を使用して一意な名前を生成し、他のファイルと衝突しないようにします。
29    $tempDir = sys_get_temp_dir() . DIRECTORY_SEPARATOR . uniqid('phar_example_');
30    if (!mkdir($tempDir) && !is_dir($tempDir)) {
31        throw new \RuntimeException(sprintf('Directory "%s" was not created', $tempDir));
32    }
33
34    // 生成するファイルの名前を定義します。
35    $pharFileName = $tempDir . DIRECTORY_SEPARATOR . 'test_app.phar';
36    $privateKeyPath = $tempDir . DIRECTORY_SEPARATOR . 'private.key';
37    // Pharは、アーカイブと同じディレクトリに「アーカイブ名.pubkey」という名前の公開鍵ファイルがあれば、
38    // 自動的にそれを使用して署名を検証します。
39    $publicKeyPath = $pharFileName . '.pubkey'; 
40
41    echo "--- Pharアーカイブの作成と署名 --- \n";
42    echo "一時ディレクトリ: $tempDir\n";
43
44    // 1. サンプルコンテンツの準備
45    // Pharアーカイブに含めるためのダミーのPHPファイルを作成します。
46    file_put_contents($tempDir . DIRECTORY_SEPARATOR . 'index.php', '<?php echo "Hello from test_app.phar!";');
47    file_put_contents($tempDir . DIRECTORY_SEPARATOR . 'config.php', '<?php define("APP_VERSION", "1.0");');
48    echo "サンプルコンテンツを作成しました。\n";
49
50    // 2. OpenSSL RSA鍵ペアの生成
51    // デジタル署名には、秘密鍵と公開鍵のペアが必要です。
52    // 秘密鍵は署名に使われ、公開鍵は署名の検証に使われます。
53    // 初心者向けにパスフレーズなしで鍵を生成しています。実運用ではパスフレーズを使用し、安全に管理すべきです。
54    $config = [
55        "digest_alg" => "sha256",          // ハッシュアルゴリズムとしてSHA256を使用
56        "private_key_bits" => 2048,        // 鍵のビット長（強度）
57        "private_key_type" => OPENSSL_KEYTYPE_RSA, // RSA鍵タイプ
58    ];
59    $privateKey = openssl_pkey_new($config);
60    if (!$privateKey) {
61        throw new \RuntimeException("RSA鍵の生成に失敗しました: " . openssl_error_string());
62    }
63
64    // 生成された秘密鍵をPEM形式でファイルに保存します。
65    if (!openssl_pkey_export($privateKey, $privateKeyPem, null, $config)) {
66        throw new \RuntimeException("秘密鍵のエクスポートに失敗しました: " . openssl_error_string());
67    }
68    file_put_contents($privateKeyPath, $privateKeyPem);
69    echo "秘密鍵を '$privateKeyPath' に保存しました。\n";
70
71    // 秘密鍵から公開鍵を抽出し、ファイルに保存します。
72    $publicKeyDetails = openssl_pkey_get_details($privateKey);
73    if (!$publicKeyDetails || !isset($publicKeyDetails['key'])) {
74        throw new \RuntimeException("公開鍵の抽出に失敗しました。");
75    }
76    file_put_contents($publicKeyPath, $publicKeyDetails['key']);
77    echo "公開鍵を '$publicKeyPath' に保存しました (Phar検証用)。\n";
78
79    // 3. Pharアーカイブの作成とSHA256WithRSA署名
80    try {
81        // テストを繰り返す際に問題ないよう、既存のPharファイルを削除します。
82        if (file_exists($pharFileName)) {
83            unlink($pharFileName);
84        }
85        // OpenSSL署名の場合、'.sig'ファイルも生成される可能性があるため、こちらも削除を試みます。
86        if (file_exists($pharFileName . '.sig')) {
87            unlink($pharFileName . '.sig');
88        }
89
90        // Pharクラスのインスタンスを作成し、アーカイブの作成を開始します。
91        $phar = new Phar($pharFileName);
92        $phar->startBuffering(); // アーカイブへの書き込みをバッファリングします。
93
94        // 一時ディレクトリから指定されたファイル（index.phpとconfig.php）をPharに追加します。
95        $phar->buildFromDirectory($tempDir, '/(index|config)\.php$/');
96        
97        // デフォルトのスタブ（PharファイルがPHPとして直接実行されたときに最初に実行されるコード）を設定します。
98        $phar->setDefaultStub('index.php', 'index.php'); 
99
100        // Pharアーカイブにデジタル署名を追加します。
101        // ここで、Phar::SHA256定数を使用して、SHA256ハッシュアルゴリズムを指定します。
102        // 第2引数に秘密鍵へのパスを指定することで、RSA署名（"sha256withrsa"に相当）が実行されます。
103        $phar->setSignatureAlgorithm(Phar::SHA256, $privateKeyPath);
104        echo "PharアーカイブにSHA256WithRSA署名を設定しました。\n";
105
106        $phar->stopBuffering(); // バッファリングを停止し、Pharファイルをディスクに書き込みます。
107        echo "Pharアーカイブ '$pharFileName' を作成し、署名しました。\n";
108
109    } catch (PharException $e) {
110        echo "Pharアーカイブの作成または署名中にエラーが発生しました: " . $e->getMessage() . "\n";
111        // エラーが発生した場合のクリーンアップ処理
112        array_map('unlink', array_filter(glob("$tempDir/*"), 'is_file'));
113        rmdir($tempDir);
114        exit(1);
115    }
116
117    echo "\n--- Pharアーカイブの検証 --- \n";
118
119    // 4. Pharアーカイブの検証
120    try {
121        // Pharのコンストラクタは、アーカイブをオープンする際に自動的に署名を検証します。
122        // 同じディレクトリに '.pubkey' ファイル (test_app.phar.pubkey) が存在する場合、
123        // その公開鍵を使用してOpenSSL署名を検証します。
124        $verifiedPhar = new Phar($pharFileName);
125        echo "Pharアーカイブ '$pharFileName' が正常にロードされ、署名が検証されました。\n";
126
127        // 署名情報の確認（オプション）：検証が成功したPharの署名タイプを確認します。
128        $signatureInfo = $verifiedPhar->getSignature();
129        if ($signatureInfo && $signatureInfo['hash_type'] === 'SHA256' && $signatureInfo['sig_type'] === 'OPENSSL') {
130             echo "署名アルゴリズムがSHA256 (OpenSSL) であることを確認しました。\n";
131        } else {
132             echo "警告: 署名アルゴリズムが期待通りではありません。\n";
133        }
134        
135        // 検証が成功したPharアーカイブ内のファイルにアクセスできることを確認します。
136        echo "アーカイブ内のファイル:\n";
137        foreach (new RecursiveIteratorIterator($verifiedPhar) as $file) {
138            echo " - " . $file->getPathname() . "\n";
139        }
140
141    } catch (PharException $e) {
142        // 署名の検証に失敗すると、PharExceptionがスローされます。
143        echo "Pharアーカイブの検証中にエラーが発生しました: " . $e->getMessage() . "\n";
144        echo "これは、Pharファイルが改ざんされたか、公開鍵ファイルが存在しないか、または無効なためです。\n";
145    }
146
147    // 5. クリーンアップ
148    echo "\n--- クリーンアップ --- \n";
149    // 一時ディレクトリ内のすべてのファイルを削除します。
150    array_map('unlink', array_filter(glob("$tempDir/*"), 'is_file'));
151    // 空になった一時ディレクトリを削除します。
152    rmdir($tempDir);
153    echo "一時ファイルとディレクトリを削除しました。\n";
154}
155
156// 上記で定義した関数を実行します。
157createAndVerifySignedPhar();
158
159?>

このコードは、PHPのPhar拡張機能を用いて、複数のファイルを単一のアーカイブにまとめるPharアーカイブを作成し、その内容の完全性と信頼性を保証するためのデジタル署名を行う一連の流れを示しています。特に、SHA256ハッシュアルゴリズムとRSA暗号を組み合わせた「SHA256WithRSA」署名の実装に焦点を当てています。

まず、スクリプトはアーカイブに含めるサンプルファイルと、署名に必要なRSA秘密鍵および公開鍵を一時的に生成します。公開鍵はPharファイルと同じディレクトリに配置され、アーカイブの署名検証に利用されます。

Pharアーカイブの作成時、Phar::setSignatureAlgorithm()メソッドを使用し、第一引数にPhar::SHA256定数を指定します。このPhar::SHA256は、Pharアーカイブの署名にSHA256ハッシュアルゴリズムを用いることを指示する整数値の定数です。第二引数には生成した秘密鍵のパスを指定します。これにより、アーカイブのハッシュ値がSHA256アルゴリズムで計算され、そのハッシュ値がRSA秘密鍵で暗号化される「SHA256WithRSA」署名が適用されます。この署名によって、アーカイブの内容が改ざんされていないか、また正当な作成者によって署名されたものかが検証可能になります。

署名されたPharアーカイブをnew Phar($pharFileName)で読み込む際、Phar拡張機能は自動的に関連する公開鍵を用いて署名の検証を行います。検証が成功すれば、アーカイブは安全であると判断され、内容にアクセスできます。もしアーカイブが改ざんされていたり、署名が不正であったりした場合は、例外がスローされ検証が失敗します。このサンプルは、Phar::SHA256定数の役割と、デジタル署名によるセキュリティの基本概念を実践的に学ぶためのものです。