Kamil Karczmarczyk

Niedawno, w magazynie PHP Solutions ukazał się mój artykuł pt.: RSA w PHP: chronimy nasze dane przy użyciu kryptografii asymetrycznej, w którym przedstawiam moją propozycję rozwiązania problemu bezpiecznego logowania oraz ogólnej wymiany informacji klient-serwer.

W artykule pokazuję w jaki sposób zastąpić metodę logowania polegającą na przechowywaniu skrótu hasła w bazie danych i porównywanie go z hasłem przesłanym za pomocą formularza. Takie rozwiązanie, o ile zabezpiecza przed kradzieżą hasła z bazy danych, nie chroni nas przed podsłuchem na kanale komunikacyjnym między nami a stroną www. Moja propozycja to zastosowanie szyfrowania hybrydowego – serwer generuje klucze RSA, poczym klucz publiczny przesyła do przeglądarki. Użytkownik wpisuje login i hasło, które przy pomocy JavaScript jest dynamicznie szyfrowane kluczem publicznym. W taki sam sposób zostaje przesłany klucz do szyfrowania symetrycznego (w prezentowanym przykładzie jest to blowfish). Serwer dostaje odpowiedź, dekoduje ją, poczym cala transmisja jest szyfrowana algorytmem blowfish. Mimo iż właściwe szyfrowanie przesyłanych informacji odbywa się algorytmem symetrycznym, to kluczową rolę w całym rozwiązaniu odgrywa RSA, za pomocą którego zostaje rozwiązany problem dystrybucji klucza.

Istota działania jest bardzo podobna do powszechnie znanego SSL-a, jednak nie każdy może sobie pozwolić na jego użycie. Implementacja RSA w PHP oraz w JavaScript, pozwala osiągnąć szyfrowaną komunikację, w sztuczny sposób emulując rozwiązania oparte na certyfikatach, takie jak SSL.

Magazyn można kupić w Empiku lub w innych większych salonach z prasą. Więcej informacji o całym numerze 6/2006 możemy znaleźć na stronie magazynu.