【PHP8.x】hash_hmac関数の使い方

<?php

/**
 * データのHMAC（Hash-based Message Authentication Code）を生成し、
 * その後、データが改ざんされていないか検証するサンプル関数群です。
 *
 * HMACはデータを「復号（decrypt）」するものではなく、データが送信中に
 * 変更されていないか、または送信者が秘密鍵を知っている正規のユーザーであるか
 * を確認するための「メッセージ認証コード」を生成するものです。
 *
 * 初心者の方が「decrypt」というキーワードを使う場合、データの安全性を
 * 確保する一連の処理を指していることが多いと解釈し、ここではHMACを用いた
 * データ整合性検証のプロセスを示します。
 */

/**
 * 指定されたデータと秘密鍵を用いてHMACを生成します。
 *
 * @param string $dataToAuthenticate 認証したい元のデータ
 * @param string $secretKey 秘密鍵
 * @param string $algo ハッシュアルゴリズム (例: 'sha256', 'md5')
 * @return string 生成されたHMAC（16進数文字列）
 */
function generateHmac(string $dataToAuthenticate, string $secretKey, string $algo = 'sha256'): string
{
    // hash_hmac関数は、指定されたアルゴリズム、データ、秘密鍵を用いてHMACを計算します。
    // 第4引数 $binary はデフォルトで false であり、結果は小文字の16進数文字列として返されます。
    return hash_hmac($algo, $dataToAuthenticate, $secretKey);
}

/**
 * 受信したデータとHMACが正しいかどうかを検証します。
 *
 * この関数は、データが改ざんされていないか、または送信者が秘密鍵を知っているか
 * を確認するために使用されます。
 *
 * @param string $dataToVerify 検証するデータ（受信したデータ）
 * @param string $receivedHmac 受信したHMAC値
 * @param string $secretKey 検証に使用する秘密鍵
 * @param string $algo ハッシュアルゴリズム
 * @return bool データとHMACが一致すれば true、そうでなければ false
 */
function verifyHmac(string $dataToVerify, string $receivedHmac, string $secretKey, string $algo = 'sha256'): bool
{
    // 1. 受信したデータと秘密鍵を使って、HMACを再計算します。
    $calculatedHmac = generateHmac($dataToVerify, $secretKey, $algo);

    // 2. 計算されたHMACと受信したHMACを比較して、データが改ざんされていないか検証します。
    // hash_equals関数は、タイミング攻撃を防ぐために、常に同じ時間で文字列を比較します。
    return hash_equals($calculatedHmac, $receivedHmac);
}

// --- 使用例 ---

// 1. 共通の秘密鍵を定義します。実際のアプリケーションでは安全な方法で管理する必要があります。
$secretKey = 'your_strong_and_secret_key_here_12345';

// 2. 使用するハッシュアルゴリズムを定義します。
$hashAlgorithm = 'sha256';

// 3. 認証したい元のデータ（例: ユーザーが送信したメッセージやAPIリクエストのペイロード）
$originalData = 'This is a message that needs its integrity verified.';

echo "--- HMACの生成と検証のプロセス ---" . PHP_EOL;

// --- ステップ1: 送信側（またはデータ生成側）でのHMAC生成 ---
echo "1. 送信側: データからHMACを生成中..." . PHP_EOL;
$generatedHmac = generateHmac($originalData, $secretKey, $hashAlgorithm);

echo "   元のデータ: " . $originalData . PHP_EOL;
echo "   生成されたHMAC: " . $generatedHmac . PHP_EOL . PHP_EOL;

// --- ステップ2: 受信側（またはデータ検証側）でのHMAC検証 ---
echo "2. 受信側: 受信したデータとHMACを検証中..." . PHP_EOL;

// ケースA: データとHMACが正しく、改ざんされていない場合
echo "   [ケースA: 正しいデータとHMAC]" . PHP_EOL;
if (verifyHmac($originalData, $generatedHmac, $secretKey, $hashAlgorithm)) {
    echo "   検証成功: データは改ざんされていません。安全に処理できます。" . PHP_EOL;
} else {
    echo "   検証失敗: データが改ざんされたか、HMACが不正です。" . PHP_EOL;
}
echo PHP_EOL;

// ケースB: データが改ざんされた場合
echo "   [ケースB: データが改ざんされた場合]" . PHP_EOL;
$tamperedData = 'This is a tampered message!'; // 元のデータが変更されたと仮定
if (verifyHmac($tamperedData, $generatedHmac, $secretKey, $hashAlgorithm)) {
    echo "   検証成功: データは改ざんされていません。" . PHP_EOL;
} else {
    echo "   検証失敗: データが改ざんされたか、HMACが不正です。（正しく検出）" . PHP_EOL;
}
echo PHP_EOL;

// ケースC: HMACが改ざんされた場合（データは正しいがHMACが不正）
echo "   [ケースC: HMACが改ざんされた場合]" . PHP_EOL;
$tamperedHmac = 'someFakeHmacValue1234567890abcdef'; // 不正なHMACを仮定
if (verifyHmac($originalData, $tamperedHmac, $secretKey, $hashAlgorithm)) {
    echo "   検証成功: データは改ざんされていません。" . PHP_EOL;
} else {
    echo "   検証失敗: データが改ざんされたか、HMACが不正です。（正しく検出）" . PHP_EOL;
}
echo PHP_EOL;

?>

PHPのhash_hmac関数は、指定されたデータが改ざんされていないか、または送信者が正当なユーザーであるかを確認するための「メッセージ認証コード（HMAC）」を生成します。ご質問の「decrypt」というキーワードは復号を意味しますが、HMACはデータを元に戻す（復号する）機能ではなく、データの整合性と真正性を検証するために利用されます。これは、データが途中で変更されていないことを保証する安全対策の一つです。

この関数は、引数として使用するハッシュアルゴリズムを$algo（例: 'sha256'）、認証したい元のデータを$data、そして秘密の鍵を$keyとして受け取ります。最後の引数$binaryがfalse（デフォルト値）の場合、結果としてHMACの値を小文字の16進数文字列で返します。

サンプルコードでは、generateHmac関数で元のデータと秘密鍵からHMACを生成し、verifyHmac関数で、受信したデータとHMACが改ざんされていないかを検証する流れを示しています。特にverifyHmac関数内では、新たに計算したHMACと受信したHMACをhash_equals関数で比較し、安全にデータの正当性を確認しています。このようにhash_hmacを使用することで、データの信頼性を高めることができます。

<?php

/**
 * hash_hmac関数の基本的な使用例です。
 * HMAC (Hash-based Message Authentication Code) は、メッセージの完全性と認証を同時に提供するために使用されます。
 * これにより、メッセージが改ざんされていないこと、および信頼できるソースから送信されたことを検証できます。
 *
 * キーワード: php hash_hmac online
 */

// 1. HMAC計算に必要な情報を定義します。
$algo = 'sha256'; // 使用するハッシュアルゴリズム (例: 'sha256', 'md5')
                  // SHA-256は現代のアプリケーションで一般的に推奨される強力なアルゴリズムです。
$data = 'このメッセージが改ざんされていないことを確認したい。'; // 認証したいデータ（メッセージ）
$key = 'これは秘密鍵です！誰も知らないでください。'; // HMAC計算に使用する秘密鍵

// 2. hash_hmac関数を呼び出してHMACを計算します。
//    引数:
//    - $algo: ハッシュアルゴリズム名
//    - $data: 認証するメッセージ
//    - $key: 秘密鍵
//    - $binary: (オプション) trueの場合、生バイナリデータで返します。
//               false (デフォルト) の場合、小文字の16進数文字列で返します。
$hmac_result = hash_hmac($algo, $data, $key);

// 3. 計算されたHMACの結果を表示します。
echo "--- HMAC Calculation Result ---" . PHP_EOL;
echo "Algorithm: " . $algo . PHP_EOL;
echo "Data:      \"" . $data . "\"" . PHP_EOL;
echo "Key:       \"" . $key . "\"" . PHP_EOL;
echo "HMAC:      " . $hmac_result . PHP_EOL;
echo "------------------------------" . PHP_EOL . PHP_EOL;

// 参考: $binary を true に設定すると、生バイナリデータが返されます。
// その場合、多くの場合 bin2hex() 関数などを使用して16進数表現に変換して表示します。
// $hmac_binary = hash_hmac($algo, $data, $key, true);
// echo "HMAC (Binary representation): " . bin2hex($hmac_binary) . PHP_EOL;

?>

PHPのhash_hmac関数は、HMAC（Hash-based Message Authentication Code）を計算するために利用されます。HMACは、メッセージが途中で改ざんされていないこと、および信頼できる送信元から送られてきたことを同時に検証するために使用される、セキュリティ上重要な仕組みです。

このサンプルコードでは、まずHMACの計算に必要な情報を定義しています。$algo変数にはsha256のような使用するハッシュアルゴリズム名を指定します。$data変数には認証したいメッセージ本体、そして$key変数にはHMAC計算の基となる秘密鍵を設定します。

次に、hash_hmac関数を呼び出してHMACを計算します。第一引数$algoでハッシュアルゴリズム、第二引数$dataで対象のメッセージ、第三引数$keyで秘密鍵を渡します。第四引数の$binaryはオプションで、デフォルトはfalseです。falseの場合、関数は計算されたHMACを小文字の16進数文字列として返します。trueに設定すると、生バイナリデータが返されます。

関数はこれらの情報をもとにHMACを計算し、その結果を文字列として返します。この戻り値が、メッセージの完全性と認証を保証するためのHMAC値となります。サンプルコードでは、計算されたHMACの結果と使用した情報を画面に表示しています。hash_hmac関数は、ウェブアプリケーションなどでデータのセキュリティを確保するために不可欠な機能を提供します。