Merge pull request #5 from getCompassUtils/release_v4.4.3

Release v4.4.3

Author: getcompass-opensource

.gitignore

@@ -1,4 +1,5 @@
 .idea
 composer.phar
 composer.lock
-vendor
+vendor
+/dev/

src/Crypt/Crypter.php

@@ -0,0 +1,27 @@
+<?php declare(strict_types=1);
+
+namespace BaseFrame\Crypt;
+
+/**
+ * Класс шифрования данных.
+ * Пришлось сделать еще один класс, потому что дефолтный не поддерживает случайный iv.
+ */
+interface Crypter {
+
+	/**
+	 * Функция инициализации, чтобы не дергать по 10 раз
+	 */
+	public function init():static;
+
+	/**
+	 * Зашифровывает данные. Можно передать вектор инициализации,
+	 * но лучше использовать случайный, создающийся если его не передать.
+	 */
+	public function encrypt(string $raw):string;
+
+	/**
+	 * Расшифровывает данные. Важно — может расшифровать только то, что сам зашифровал —
+	 * требует наличия инициализирующего вектора перед зашифрованным значением.
+	 */
+	public function decrypt(string $encrypted):string;
+}

src/Crypt/Crypter/OpenSSL.php

@@ -0,0 +1,127 @@
+<?php declare(strict_types=1);
+
+namespace BaseFrame\Crypt\Crypter;
+
+/**
+ * Класс шифрования данных с использование OpenSSL.
+ * Пришлось сделать еще один класс, потому что дефолтный не поддерживает случайный iv.
+ */
+class OpenSSL implements \BaseFrame\Crypt\Crypter {
+
+	/** @var bool флаг инициализации шифровальщика */
+	protected bool   $_is_initialized = false;
+	protected string $_algo           = OpenSSL\Algo::AES256CBC->value;
+
+	/**
+	 * Класс шифрования данных с использование OpenSSL.
+	 */
+	protected function __construct(
+		protected ?string $_key,
+		protected int     $_options,
+		protected string  $_default_iv,
+		protected mixed   $_init_fn,
+	) {
+
+		// не делаем никаких проверок, если есть функция инициализации
+		if (!is_null($_init_fn)) {
+			return;
+		}
+
+		// проверяем, что указанная длина ключа подходит для шифрования выбранным алгоритмом,
+		// чтобы не было ситуаций, когда в php недостающие байты нулями заполнились, а в go все сломалось
+		if (is_null($_key) || strlen($_key) !== openssl_cipher_key_length($this->_algo)) {
+			throw new \RuntimeException("passed incorrect key");
+		}
+
+		// поскольку функция инициализации не передана,
+		// то шифровальщик считаем проинициализированным
+		$this->_is_initialized = true;
+	}
+
+	/**
+	 * Создает экземпляр класса шифрования.
+	 */
+	public static function instance(?string $key, int $options = 0, string $default_iv = "", ?\Closure $init_fn = null):static {
+
+		return new static($key, $options, $default_iv, $init_fn);
+	}
+
+	/**
+	 * Функция инициализации, чтобы не дергать по 10 раз какую-то сложную логику
+	 */
+	public function init():static {
+
+		if ($this->_is_initialized) {
+			return $this;
+		}
+
+		$this->_is_initialized = true;
+
+		if (!is_null($this->_init_fn)) {
+			$this->_init_fn->call($this);
+		}
+
+		// проверим, что после инициализации ключ у нас не пустой,
+		// поскольку изначально мы допускаем возможность передать
+		// пустой ключ при наличии функции инициализации
+		if (is_null($this->_key) || strlen($this->_key) !== openssl_cipher_key_length($this->_algo)) {
+			throw new \RuntimeException("key is incorrect after initialization");
+		}
+
+		return $this;
+	}
+
+	/**
+	 * Зашифровывает данные. Можно передать вектор инициализации,
+	 * но лучше использовать случайный, создающийся если его не передать.
+	 */
+	public function encrypt(string $raw, string $iv = ""):string {
+
+		if (!$this->_is_initialized) {
+			throw new \RuntimeException("cryptor is not initialized, call init before use");
+		}
+
+		$iv_length = openssl_cipher_iv_length($this->_algo);
+
+		if ($iv === "") {
+
+			$iv = $this->_default_iv !== ""
+				? $this->_default_iv
+				: substr(bin2hex(openssl_random_pseudo_bytes($iv_length)), 0, $iv_length);
+		}
+
+		if (strlen($iv) !== $iv_length) {
+			throw new \RuntimeException("initialization vector must be of the following length: $iv_length bytes");
+		}
+
+		$result = openssl_encrypt($raw, $this->_algo, $this->_key, $this->_options, $iv);
+
+		if ($result === false) {
+			throw new \RuntimeException("encryption failed");
+		}
+
+		return $iv . $result;
+	}
+
+	/**
+	 * Расшифровывает данные. Важно — может расшифровать только то, что сам зашифровал —
+	 * требует наличия инициализирующего вектора перед зашифрованным значением.
+	 */
+	public function decrypt(string $encrypted):string {
+
+		if (!$this->_is_initialized) {
+			throw new \RuntimeException("cryptor is not initialized, call init before use");
+		}
+
+		$iv_length = openssl_cipher_iv_length($this->_algo);
+
+		$iv     = substr($encrypted, 0, $iv_length);
+		$result = openssl_decrypt(substr($encrypted, $iv_length), $this->_algo, $this->_key, $this->_options, $iv);
+
+		if ($result === false) {
+			throw new \RuntimeException("decryption failed");
+		}
+
+		return $result;
+	}
+}

src/Crypt/Crypter/OpenSSL/Algo.php

@@ -0,0 +1,11 @@
+<?php declare(strict_types=1);
+
+namespace BaseFrame\Crypt\Crypter\OpenSSL;
+
+/**
+ * Поддерживаемые OpenSSL алгоритмы шифрования.
+ */
+enum Algo : string {
+
+	case AES256CBC = "AES-256-CBC";
+}

src/Crypt/Crypter/OpenSSLDerivedCBC.php

@@ -0,0 +1,135 @@
+<?php
+
+namespace BaseFrame\Crypt\Crypter;
+
+/**
+ * Шифровальщик, использующий CBC алгоритм. Вектор шифрования и ключ шифрования получаются
+ * из pbkdf2 исходного ключа шифрования, что совместимо с консольным OpenSSL.
+ */
+class OpenSSLDerivedCBC implements \BaseFrame\Crypt\Crypter {
+
+	/** @var bool флаг инициализации шифровальщика */
+	protected bool   $_is_initialized = false;
+	protected string $_algo           = \BaseFrame\Crypt\Crypter\OpenSSL\Algo::AES256CBC->value;
+
+	/**
+	 * Класс шифрования данных с использование OpenSSL.
+	 */
+	protected function __construct(
+		protected ?string $_key,
+		protected int     $_options,
+		protected mixed   $_init_fn,
+	) {
+
+		// не делаем никаких проверок, если есть функция инициализации
+		if (!is_null($_init_fn)) {
+			return;
+		}
+
+		// проверяем, что указанная длина ключа подходит для шифрования выбранным алгоритмом,
+		// чтобы не было ситуаций, когда в php недостающие байты нулями заполнились, а в go все сломалось
+		if (is_null($_key) || strlen($_key) !== openssl_cipher_key_length($this->_algo)) {
+			throw new \RuntimeException("passed incorrect key");
+		}
+
+		// поскольку функция инициализации не передана,
+		// то шифровальщик считаем проинициализированным
+		$this->_is_initialized = true;
+	}
+
+	/**
+	 * Создает экземпляр класса шифрования.
+	 */
+	public static function instance(?string $key, int $options = OPENSSL_RAW_DATA | OPENSSL_DONT_ZERO_PAD_KEY, ?\Closure $init_fn = null):static {
+
+		return new static($key, $options, $init_fn);
+	}
+
+	/**
+	 * Функция инициализации, чтобы не дергать по 10 раз какую-то сложную логику
+	 */
+	public function init():static {
+
+		if ($this->_is_initialized) {
+			return $this;
+		}
+
+		$this->_is_initialized = true;
+
+		if (!is_null($this->_init_fn)) {
+			$this->_init_fn->call($this);
+		}
+
+		// проверим, что после инициализации ключ у нас не пустой,
+		// поскольку изначально мы допускаем возможность передать
+		// пустой ключ при наличии функции инициализации
+		if (is_null($this->_key) || strlen($this->_key) !== openssl_cipher_key_length($this->_algo)) {
+			throw new \RuntimeException("key is incorrect after initialization");
+		}
+
+		return $this;
+	}
+
+	/**
+	 * Зашифровывает данные. Работает аналогично команде:
+	 * echo <in> | openssl aes-256-cbc -pbkdf2 -k <key> -out <out>
+	 */
+	public function encrypt(string $raw):string {
+
+		if (!$this->_is_initialized) {
+			throw new \RuntimeException("cryptor is not initialized, call init before use");
+		}
+
+		// для CBC размер блока и длина вектора инициализации
+		// совпадают, для остальных, увы, нужно считать
+		$block_length = openssl_cipher_iv_length($this->_algo);
+
+		// первые 8 байт — просто байты, будем вставлять строку Salted__
+		$salt = random_bytes($block_length - strlen("Salted__"));
+		$pb   = openssl_pbkdf2($this->_key, $salt, 48, 10000, "sha256");
+
+		// получаем ключ, которым будем шифровать и вектор инициализации,
+		// вот так сложно все, но это так работает openssl через терминал
+		$pass = substr($pb, 0, 32);
+		$iv   = substr($pb, 32, 16);
+
+		// соль добавляем в результат шифрования в качестве префикса
+		$result = "Salted__" . $salt . openssl_encrypt($raw, $this->_algo, $pass, $this->_options, $iv);
+
+		if ($result === false) {
+			throw new \RuntimeException("encryption failed");
+		}
+
+		// важно, что эта штука вернет байты, а не строку, смотри не сломай ничего
+		return $result;
+	}
+
+	/**
+	 * Расшифровывает данные. Работает аналогично команде:
+	 * openssl aes-256-cbc -pbkdf2 -d -k <key> -in <in> -out <out>
+	 */
+	public function decrypt(string $encrypted):string {
+
+		if (!$this->_is_initialized) {
+			throw new \RuntimeException("cryptor is not initialized, call init before use");
+		}
+
+		// первые 8 байт — просто байты, вторые 8 байт — соль
+		// остальное _ зашифрованные данные
+		$salt      = substr($encrypted, 8, 8);
+		$encrypted = substr($encrypted, 16);
+
+		// есть ключ, есть соль, повторяем логику как при шифровании
+		$pb   = openssl_pbkdf2($this->_key, $salt, 48, 10000, "sha256");
+		$pass = substr($pb, 0, 32);
+		$iv   = substr($pb, 32, 16);
+
+		$result = openssl_decrypt($encrypted, $this->_algo, $pass, $this->_options, $iv);
+
+		if ($result === false) {
+			throw new \RuntimeException("decryption failed");
+		}
+
+		return $result;
+	}
+}

src/Crypt/CrypterProvider.php

@@ -0,0 +1,36 @@
+<?php
+
+namespace BaseFrame\Crypt;
+
+/**
+ * Класс-хранилище для шифровальщиков..
+ */
+class CrypterProvider {
+
+	/** @var \BaseFrame\Crypt\Crypter[] хранилище шифровальщиков */
+	protected static array $_store = [];
+
+	/**
+	 * Добавляет новый шифровальщик в хранилище.
+	 */
+	public static function add(string $uniq_key, Crypter $crypter):void {
+
+		if (isset(static::$_store[$uniq_key])) {
+			throw new \RuntimeException("passed key $uniq_key already defined");
+		}
+
+		static::$_store[$uniq_key] = $crypter;
+	}
+
+	/**
+	 * Достает из хранилища шифровальщик по ключу.
+	 */
+	public static function get(string $uniq_key):Crypter {
+
+		if (!isset(static::$_store[$uniq_key])) {
+			throw new \RuntimeException("crypter with uniq $uniq_key is not defined");
+		}
+
+		return static::$_store[$uniq_key]->init();
+	}
+}