crypt

(PHP 4, PHP 5, PHP 7, PHP 8)

cryptEinweg-String-Hashing

Warnung

Diese Funktion ist (bis jetzt) nicht binärsicher!

Beschreibung

crypt(string $string, string $salt): string

crypt() gibt einen Hash-String zurück, der unter Verwendung des DES-basierten Unix-Standard-Hashingalgorithmus oder eines anderen Algorithmus erstellt wurde. password_verify() ist kompatibel zu crypt(). Daher können Passwort-Hashes, die mit crypt() erzeugt wurden, mit password_verify() verwendet werden.

Vor PHP 8.0.0 war der Parameter salt optional. Allerdings erzeugt crypt() ohne das salt einen schwachen Hash und einen E_NOTICE-Fehler. Es ist darauf zu achten, ein ausreichend starkes Salt für bessere Sicherheit anzugeben.

password_hash() verwendet einen starken Hash, erzeugt ein starkes Salt und wendet automatisch eine angemessene Anzahl von Runden an. password_hash() ist ein einfacher crypt()-Wrapper und kompatibel zu bestehenden Passwort-Hashes. Die Verwendung von password_hash() wird empfohlen.

Der verwendete Algorithmus wird durch das Salt-Argument bestimmt. Wird kein Salt angegeben, erzeugt PHP entweder einen 12-Zeichen-MD5-Salt oder, falls MD5 nicht verfügbar ist, einen 2-Zeichen-DES-Salt. PHP setzt eine Konstante CRYPT_SALT_LENGTH, welche die Länge des längsten von den Algorithmen unterstützten Salts enthält.

Der Standard-DES-Algorithmus gibt den Salt als erste 2 Zeichen zurück. Weiterhin werden nur die ersten acht Zeichen von string genutzt. Wenn also eine längere Zeichenkette verwendet wird, die mit denselben 8 Buchstaben beginnt, so erhalten Sie denselben Rückgabewert (sofern Sie ebenfalls den gleichen Salt genutzt haben).

Die folgenden Hash-Typen werden unterstützt.

  • CRYPT_STD_DES - Standard DES-Hash mit einem 2-Zeichen-Salt aus dem Alphabet "./0-9A-Za-z". Bei Nutzung eines ungültigen Zeichens schlägt crypt() fehl.
  • CRYPT_EXT_DES - Erweitertes DES-basiertes Hashing mit einem 9-Zeichen-Salt, bestehend aus einem Unterstrich, gefolgt von 4 Zeichen Iterationsanzahl und 4 Zeichen Salt. Jede dieser vierstelligen Zeichenketten kodiert 24 Bits, das Zeichen mit dem niedrigsten Wert zuerst. Die Werte 0 bis 63 werden als ./0-9A-Za-z kodiert. Bei Nutzung eines ungültigen Zeichens schlägt crypt() fehl.
  • CRYPT_MD5 - MD5-Hashing mit 12-Zeichen-Salt, beginnend mit "$1$"
  • CRYPT_BLOWFISH - Blowfish-Hash mit einem Salt folgenden Aufbaus: "$2a$", "$2x$" oder "$2y$", gefolgt von einem zweistelligen Kostenparameter, einem weiteren "$" und 22 Zeichen des Alphabets "./0-9A-Za-z". Bei Nutzung eines ungültigen Zeichens gibt crypt() eine leere Zeichenkette zurück. Der zweistellige Kostenparameter ist der binäre Logarithmus der Iterationsanzahl für den zugrundeliegenden Blowfish-basierten Hash-Algorithmus und muss im Bereich von 04-31 liegen. Bei Nutzung von Werten außerhalb dieses Bereichs schlägt crypt() fehl. "$2x$"-Hashes sind potenziell schwach; "$2a$"-Hashes sind kompatibel und entschärfen diese Schwäche. Für neue Hashes sollte "$2y$" verwendet werden.
  • CRYPT_SHA256 - SHA-256-Hash mit einem 16-Zeichen-Salt, beginnend mit "$5$". Wenn anschließend "rounds=<N>$" folgt, gibt der Zahlenwert von N die Iterationsanzahl an, ansonsten wird 5000 als Anzahl angenommen. Die Anzahl muss zwischen 1000 und 999,999,999 liegen. Falls ein Wert außerhalb dieses Bereichs angegeben wird, wird die jeweils näher liegende Grenze als Anzahl genutzt.
  • CRYPT_SHA512 - SHA-512-Hash mit einem 16-Zeichen-Salt, beginnend mit "$6$". Wenn anschließend "rounds=<N>$" folgt, gibt der Zahlenwert von N die Iterationsanzahl an, ansonsten wird 5000 als Anzahl angenommen. Die Anzahl muss zwischen 1000 und 999,999,999 liegen. Falls ein Wert außerhalb dieses Bereichs angegeben wird, wird die jeweils näher liegende Grenze als Anzahl genutzt.

Parameter-Liste

string

Die zu hashende Zeichenkette.

Achtung

Die Verwendung des CRYPT_BLOWFISH-Algorithmus hat zur Folge, dass der Parameter string auf eine Länge von maximal 72 Bytes gekürzt wird.

salt

Ein Salt-String, der die Schlüsselbasis bildet. Falls dieser nicht angegeben wird, hängt das Verhalten von der Implementierung des Algorithmus ab und kann daher zu unerwarteten Ergebnissen führen. (Wenn beispielsweise ein Server MD5 unterstützt und der andere nur DES, dann würden beide unterschiedliche Rückgabewerte produzieren, obwohl die Zeichenkette eigentlich gleich ist.)

Rückgabewerte

Gibt die gehashte Zeichenkette zurück oder im Fehlerfall eine Zeichenkette, die kürzer ist als 13 Zeichen und sich garantiert vom Salt unterscheidet.

Warnung

Wenn Passwörter überprüft werden, sollte eine Zeichenkettenvergleichsfunktion verwendet werden, die nicht anfällig für Rechenzeitangriffe ist, um die Ausgabe von crypt() mit dem zuvor bekannten Hash zu vergleichen. PHP stellt zu diesem Zweck hash_equals() zur Verfügung.

Changelog

Version Beschreibung
8.0.0 salt ist nicht mehr optional.

Beispiele

Beispiel #1 crypt()-Beispiele

<?php
$benutzer_eingabe
= 'rasmuslerdorf';
$gehashtes_passwort = '$6$rounds=1000000$NJy4rIPjpOaU$0ACEYGg/aKCY3v8O8AfyiO7CTfZQ8/W231Qfh2tRLmfdvFD6XfHk12u6hMr9cYIA4hnpjLNSTRtUwYr9km9Ij/';

// Prüfen eines vorhandenen crypt()-Hashs auf eine Weise, die mit Nicht-PHP-Software kompatibel ist.
if (hash_equals($gehashtes_passwort, crypt($benutzer_eingabe, $gehashtes_passwort))) {
echo
"Passwort stimmt überein!";
}
?>

Anmerkungen

Hinweis: Es existiert keine decrypt-Funktion, da crypt() ein Einweg-Algorithmus ist.

Siehe auch

  • hash_equals() - Timing attack safe string comparison
  • password_hash() - Erstellt einen Passwort-Hash
  • Lesen Sie die Manpages ihres Unix-Systems, wenn Sie weitere Informationen zu crypt benötigen.

add a note add a note

User Contributed Notes 8 notes

up
63
bob dot orr at mailinator dot com
9 years ago
The #2 comment on this comments page (as of Feb 2015) is 9 years old and recommends phpass.  I have independently security audited this product and, while it continues to be recommended for password security, it is actually insecure and should NOT be used.  It hasn't seen any updates in years (still at v0.3) and there are more recent alternatives such as using the newer built-in PHP password_hash() function that are much better.  Everyone, please take a few moments to confirm what I'm saying is accurate (i.e. review the phpass code for yourself) and then click the down arrow to sink the phpass comment to the bottom.  You'll be increasing security across the Internet by doing so.

For those who want details:  md5() with microtime() are a fallback position within the source code of phpass.  Instead of terminating, it continues to execute code.  The author's intentions of trying to work everywhere are admirable but, when it comes to application security, that stance actually backfires.  The only correct answer in a security context is to terminate the application rather than fallback to a weak position that can potentially be exploited (usually by forcing that weaker position to happen).
up
16
Marten Jacobs
10 years ago
As I understand it, blowfish is generally seen a secure hashing algorithm, even for enterprise use (correct me if I'm wrong). Because of this, I created functions to create and check secure password hashes using this algorithm, and using the (also deemed cryptographically secure) openssl_random_pseudo_bytes function to generate the salt.

<?php
/*
* Generate a secure hash for a given password. The cost is passed
* to the blowfish algorithm. Check the PHP manual page for crypt to
* find more information about this setting.
*/
function generate_hash($password, $cost=11){
       
/* To generate the salt, first generate enough random bytes. Because
         * base64 returns one character for each 6 bits, the we should generate
         * at least 22*6/8=16.5 bytes, so we generate 17. Then we get the first
         * 22 base64 characters
         */
       
$salt=substr(base64_encode(openssl_random_pseudo_bytes(17)),0,22);
       
/* As blowfish takes a salt with the alphabet ./A-Za-z0-9 we have to
         * replace any '+' in the base64 string with '.'. We don't have to do
         * anything about the '=', as this only occurs when the b64 string is
         * padded, which is always after the first 22 characters.
         */
       
$salt=str_replace("+",".",$salt);
       
/* Next, create a string that will be passed to crypt, containing all
         * of the settings, separated by dollar signs
         */
       
$param='$'.implode('$',array(
               
"2y", //select the most secure version of blowfish (>=PHP 5.3.7)
               
str_pad($cost,2,"0",STR_PAD_LEFT), //add the cost in two digits
               
$salt //add the salt
       
));
      
       
//now do the actual hashing
       
return crypt($password,$param);
}

/*
* Check the password against a hash generated by the generate_hash
* function.
*/
function validate_pw($password, $hash){
       
/* Regenerating the with an available hash as the options parameter should
         * produce the same hash if the same password is passed.
         */
       
return crypt($password, $hash)==$hash;
}
?>
up
9
steve at tobtu dot com
11 years ago
To generate salt use mcrypt_create_iv() not mt_rand() because no matter how many times you call mt_rand() it will only have at most 32 bits of entropy. Which you will start seeing salt collisions after about 2^16 users. mt_rand() is seeded poorly so it should happen sooner.

For bcrypt this will actually generate a 128 bit salt:
<?php $salt = strtr(base64_encode(mcrypt_create_iv(16, MCRYPT_DEV_URANDOM)), '+', '.'); ?>

*** Bike shed ***
The last character in the 22 character salt is 2 bits.
base64_encode() will have these four character "AQgw"
bcrypt will have these four character ".Oeu"

You don't need to do a full translate because they "round" to different characters:
echo crypt('', '$2y$05$.....................A') . "\n";
echo crypt('', '$2y$05$.....................Q') . "\n";
echo crypt('', '$2y$05$.....................g') . "\n";
echo crypt('', '$2y$05$.....................w') . "\n";

$2y$05$......................J2ihDv8vVf7QZ9BsaRrKyqs2tkn55Yq
$2y$05$.....................O/jw2XygQa2.LrIT7CFCBQowLowDP6Y.
$2y$05$.....................eDOx4wMcy7WU.kE21W6nJfdMimsBE3V6
$2y$05$.....................uMMcgjnOELIa6oydRivPkiMrBG8.aFp.
up
7
kaminski at istori dot com
13 years ago
Here is an expression to generate pseudorandom salt for the CRYPT_BLOWFISH hash type:

<?php $salt = substr(str_replace('+', '.', base64_encode(pack('N4', mt_rand(), mt_rand(), mt_rand(), mt_rand()))), 0, 22); ?>

It is intended for use on systems where mt_getrandmax() == 2147483647.

The salt created will be 128 bits in length, padded to 132 bits and then expressed in 22 base64 characters.  (CRYPT_BLOWFISH only uses 128 bits for the salt, even though there are 132 bits in 22 base64 characters.  If you examine the CRYPT_BLOWFISH input and output, you can see that it ignores the last four bits on input, and sets them to zero on output.)

Note that the high-order bits of the four 32-bit dwords returned by mt_rand() will always be zero (since mt_getrandmax == 2^31), so only 124 of the 128 bits will be pseudorandom.  I found that acceptable for my application.
up
0
jette at nerdgirl dot dk
10 years ago
The crypt() function cant handle plus signs correctly. So if for example you are using crypt in a login function, use urlencode on the password first to make sure that the login procedure can handle any character:

<?php
$user_input
'12+#æ345';
$pass = urlencode($user_input));
$pass_crypt = crypt($pass);

if (
$pass_crypt == crypt($pass, $pass_crypt)) {
  echo
"Success! Valid password";
} else {
  echo
"Invalid password";
}
?>
up
-10
Anonymous
6 years ago
steve at tobtu dot com was right 4 years ago, but now mcrypt_create_iv()  (and bcrypt in general) is deprecated!

Use random_bytes() instead:

<?php
$salt
= base64_encode(random_bytes(16));
up
-15
ian+php dot net at eiloart dot ocm
9 years ago
If you're stuck with CRYPT_EXT_DES, then you'll want to pick a number of iterations: the 2nd-5th characters of the "salt".

My experimentation suggests that the 5th character is the most significant. A '.' is a zero and 'Z' is the highest value. Using all dots will create an error: all passwords will be encrypted to the same value.

Here are some encryption timings (in seconds) that I obtained, with five different iteration counts over the same salt, and the same password, on a quad core 2.66GHz Intel Xeon machine.

_1111 time: 0.15666794776917
_J9.Z time: 1.8860530853271
_J9.. time: 0.00015401840209961
_...Z time: 1.9095730781555
_ZZZZ time: 1.9124970436096
_...A time: 0.61211705207825

I think a half a second is reasonable for an application, but for the back end authentication? I'm not so sure: there's a significant risk of overloading the back end if we're getting lots of authentication requests.
up
-10
Joey
6 years ago
While the documentation says that crypt will fail for DES if the salt is invalid, this turns out to not be the case.

The crypt function will accept any string of two characters or more for DES as long as it doesn't match the pattern for any other hashing schema. The remaining characters will be ignored.
To Top