【PHP8.x】CRYPT_BLOWFISH定数の使い方

Copy
1<?php
2
3/**
4 * CRYPT_BLOWFISH 定数を使用してパスワードをハッシュ化し、検証する例。
5 *
6 * CRYPT_BLOWFISH は、PHPの crypt() 関数がパスワードハッシュにBlowfishアルゴリズムを
7 * 使用できることを示す定数です。これにより、より強力で安全なパスワードハッシュを生成できます。
8 *
9 * システムエンジニアを目指す初心者向けに、基本的なハッシュ化と検証の
10 * 流れを簡潔に示します。
11 */
12function demonstrateBlowfishHashingExample(string $password): void
13{
14    // CRYPT_BLOWFISH 定数が利用可能かチェックします。
15    // PHP環境でBlowfishアルゴリズムがサポートされている場合にのみ値が1になります。
16    if (!defined('CRYPT_BLOWFISH') || CRYPT_BLOWFISH !== 1) {
17        echo "エラー: CRYPT_BLOWFISH アルゴリズムが利用できません。システムが対応しているか確認してください。\n";
18        return;
19    }
20
21    echo "元のパスワード: " . $password . "\n";
22
23    // Blowfishアルゴリズム用のソルトを生成します。
24    // ソルトはパスワードごとに異なるランダムな文字列であり、セキュリティを高めます。
25    // 形式は `$2y$コスト$22文字のbase64エンコードされた文字列` です。
26    // コストは04から31まで設定可能で、高いほど計算が遅くなり、安全性が増します。
27    $cost = '10'; // 例としてコスト10を指定
28    $saltPrefix = '$2y$' . $cost . '$';
29
30    // ランダムなバイト列を生成し、Base64エンコードしてソルトの一部にします。
31    // Blowfishのソルトは特定の文字セットを要求するため、str_replace で調整します。
32    $randomBytes = random_bytes(16); // 16バイトのランダムデータを生成
33    $base64Salt = substr(str_replace(['+', '/'], ['.', '_'], base64_encode($randomBytes)), 0, 22);
34
35    $salt = $saltPrefix . $base64Salt;
36
37    echo "生成されたソルト: " . $salt . "\n";
38
39    // crypt() 関数を使用してパスワードをハッシュ化します。
40    // 提供されたソルトによって、Blowfishアルゴリズムが使用されます。
41    $hashedPassword = crypt($password, $salt);
42
43    echo "ハッシュ化されたパスワード: " . $hashedPassword . "\n\n";
44
45    // パスワードの検証例。
46    // ユーザーが入力したパスワードが、保存されているハッシュと一致するかを確認します。
47    // 検証時には、保存されたハッシュに含まれるソルトが自動的に使用されます。
48    $userSuppliedPassword = "mySecretPassword123!"; // ユーザーが入力したパスワードを想定
49
50    echo "検証するパスワード: " . $userSuppliedPassword . "\n";
51
52    // 再度 crypt() を呼び出し、ユーザー入力パスワードと既存のハッシュ（ソルトを含む）でハッシュを生成します。
53    $rehashedPasswordForVerification = crypt($userSuppliedPassword, $hashedPassword);
54
55    // hash_equals() を使用して、タイミング攻撃を避けて安全にハッシュを比較します。
56    if (hash_equals($hashedPassword, $rehashedPasswordForVerification)) {
57        echo "パスワードは一致しました。認証成功！\n";
58    } else {
59        echo "パスワードは一致しませんでした。認証失敗。\n";
60    }
61
62    echo "\n";
63
64    // 異なるパスワードでの検証例
65    $wrongPassword = "wrongPassword";
66    echo "異なるパスワードでの検証: " . $wrongPassword . "\n";
67    $rehashedWrongPassword = crypt($wrongPassword, $hashedPassword);
68    if (hash_equals($hashedPassword, $rehashedWrongPassword)) {
69        echo "誤ったパスワードでも一致しました (これはセキュリティ上の問題です)。\n";
70    } else {
71        echo "誤ったパスワードは一致しませんでした。認証失敗。\n";
72    }
73}
74
75// サンプル関数の実行
76demonstrateBlowfishHashingExample("mySecretPassword123!");

このサンプルコードは、PHPでパスワードを安全にハッシュ化し、検証する方法をCRYPT_BLOWFISH定数を使って示しています。CRYPT_BLOWFISHは、PHPのcrypt()関数がパスワードのハッシュ化に強力なBlowfishアルゴリズムを使用できることを示す定数です。

demonstrateBlowfishHashingExample関数は、引数として渡された元のパスワード（$password）を受け取り、それをハッシュ化します。パスワードのハッシュ化では、「ソルト」と呼ばれるランダムな文字列を元のパスワードに結合し、さらに計算の難易度を示す「コスト」を設定します。これにより、同じパスワードでも異なるハッシュを生成し、ブルートフォース攻撃などに対するセキュリティを強化しています。random_bytes関数で生成したデータをもとにソルトを作成し、crypt()関数にパスワードとこのソルトを渡すことで、ハッシュ化されたパスワードが生成されます。このハッシュ値は通常、データベースに保存されます。

次に、パスワードの検証方法を示しています。ユーザーが入力したパスワード（$userSuppliedPassword）と、保存されているハッシュ値を再びcrypt()関数に渡します。crypt()関数は、保存されたハッシュに含まれるソルトを自動的に読み取り、入力パスワードを同じ条件で再度ハッシュ化します。最終的に、生成されたハッシュと保存されているハッシュが一致するかどうかをhash_equals()関数で比較します。hash_equals()は、比較にかかる時間を一定に保つことで、タイミング攻撃と呼ばれるセキュリティ上の脅威を防ぐために用いられる安全な比較関数です。この関数は、コンソールに処理結果を出力するだけで、特定の戻り値はありません。