"Du brauchst gute Kryptographie? Verwende eine Bibliothek!"
Kommentare

Gut zu verschlüsseln, ist schwer. Und in Anbetracht der leistungsfähigen Grafikkarten und unerschöpflichen Leistungsreserven im Cloud Computing sind Hashtables schnell gemacht. Da ist es wichtiger denn

Gut zu verschlüsseln, ist schwer. Und in Anbetracht der leistungsfähigen Grafikkarten und unerschöpflichen Leistungsreserven im Cloud Computing sind Hashtables schnell gemacht. Da ist es wichtiger denn je, auf ausgeklügelte Kryptographie zu setzen. Doch darf man nicht von jedem PHP-Entwickler erwarten, ein Experte in dem Gebiet zu sein. PHP-Sicherheitsberater Anthony Ferrara erklärt nun in einem umfassenden Stackoverflow-Posting, dass wir uns diesem Fakt einfach stellen müssen:

Face It, Cryptography is hard.

Leave it for the experts. Leave it for people who’s job it is to maintain these libraries. If you need to make a decision, you’re doing it wrong.

Instead, just use a library. Several exist depending on your requirements.

Ferrara stellt einige Möglichkeiten vor, wie man schnell und einfach an empfehlenswerte Implementierungen moderner Verschlüsselungsalgorithmen kommt. Eine der einfachsten Methoden liefert die kommende PHP-Version 5.5 mit dem nativen Password Hashing API. Es ist auch unter PHP 5.3.7 nutzbar. Ohne weiteren Installationsaufwand liefert es eine Schnittstelle, die in Zusammenarbeit mehrerer Krypto-Experten entworfen wurde, welche sämtlich die üblichen Fallstricke von BCrypt kennen.

Sehr ähnlich arbeitet das BCrypt-API im Zend Framework, das in einem Blog Post näher vorgestellt wird. PasswordLib hingegen arbeitet mit unterschiedlichen Hash-Algorithmen, und glänzt durch Kompatibilität mit betagten PHP-Installationen bis zurück zu 5.3.2. PHPASS von OpenWall geht sogar zurück bis PHP 3.0.

Wer sich dennoch für eine eigene Implementierung entscheidet, oder einfach mehr zu BCrypt und Passwort-Hashing erfahren möchte, dem hat Ferrara einige Links unter die Library-Beschreibungen gepostet. Nichtsdestotrotz rät er jedem davon ab, ein so heikles Gebiet ohne Expertenwissen selbst in Angriff zu nehmen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -