1: https se hai tempo io lo metterei
2: quando dici “quando provo a cifrare nuovamente la variabile risultante del decrypt si incazza” intendi che ti da un qualche warnings? o non da nulla?
3: ora non ho molto tempo, anzi tra 2 ore parto per le vacanze, ma dovrei fare uno script simile al tuo per provare di persona, nel frattempo potrei consigliarti questo per finire il progetto, ovvero: Crei una procedura di login sul sito, con username e password (o masterpassword), se mettono la password sbagliata gli dai l’errore username e/o password sbagliate, altrimenti li fai loggare e usi la masterpassword per decrittare i dati nel db (che a questo punto sono giusti per forza)

ciao

quindi il problema è quello che ti dievo…. e come se quando reinizializzo mcrypt per la seconda volta va i tilt…. e mi visualizza sempre come valore quello del campo delDB $pswd…. ho provato da due diversi ambienti WAMP ed il risultato è sempre lo stesso…. quindi m confermi che non è un problema del codice??? ma potrebbe essere la libreria mcrypt???

cmq per l’Https gia ci avevo pensat ma per il momento devo risolvere questo problemuccio….

che mi consigli di fare??

grazie mille ancora. :)

c’è un $ in più in $$decryptedTestofinale, toglilo

:)

questo sito, dove metti la master password, è in https vero???

No perchè se non lo è se qualcuno è sulla tua stessa rete locale o wireless e sniffa tutto il traffico di rete può allegramente leggersi questa master password.

Ciao
Zago

il portale è praticamente un archivio di password root di sistemi linux protetti da una master password (passphrease)….

Sul form io inserisco la chiave privata, quindi lo script utilizza la $pKey passata dal form con gli altri dati $iv e $pswd recuperati dal DB e li decifra con il metodo mdecrypt_generic.

qunidi io inserendo la mia master-password (passphrease) sul portale posso recuperare la password di root di tutte le macchine unix che sono molto complesse e impossibili da ricordare a memoria.

fin qui non ci piove… nel senso che se inserisco la mia passphrease corretta lo script mi decifra il campo $pswd registrato sul DB e mi visualizza a schermo la password decifrata.

il problema e che se io sbaglio passphrease ($pKey) il metodo mdecrypt_generic decifra comunque la stringa però utilizzando la pkey sbagliata, e di conseguenza lo script mi visualizzerà una password sbagliata.

il problema appunto e verificare che il dato decifrato corrisponda a quello originale cifrato sul db ($pswd).

quindi ho pensato di cifrare nuovamente, con lo stesso iv presente sul DB, la password decifrata precedentemente, e poi confrontare il risultato del crypt con quelllo memorizzato sul db.

ma nello script quando provo a cifrare nuovamente la variabile risultante del decrypt si incazza e mi visualizza lo stesso valore del campo $pswd presente sul DB, come se non gli piacesse che provenga da una variabile, difatti ho provato a scrivere il valore all’interno degli apici e cosi funziona, quindi invece di:

mcrypt_generic($td,$TestoDecifrato);

ho messo:

mcrypt_generic($td, “testodecifrato”);

cosi in teoria potrei fare il confronto senza problemi.

ma quello che non capisco è perchè si comporta così??? c’è una soluzione secondo te? è un problema di mcrypt..

io utilizzo wamp server 2.0 con PHP 5.3 e mysql 5.1.36.

Grazie di un tuo cortese riscontro.
Gianluca.

ma in effetti quando vaodo a re-cryptare l’output del decrypt iniziale per compararlo con quello sul DB, è come se mcrypt si impallasse e anche nel caso che metto una passphrease sbagliata il dato cryptato risulta sempre uguale a quello salvato nel DB.

cerco di spiegarmi meglio…

il mio codice è il seguente:

******

$td = mcrypt_module_open(’rijndael-256′, ”, ‘ofb’, ”);
$ks = mcrypt_enc_get_key_size($td);

if (strlen($pKey) != $ks) {
die(”Chiave Privata di dimensioni sbagliate”);
}

// DECIFRO I DATI ATRAVERSO UN FORM PASSANDO LA $pKEY e poi $iv e $pswd li prelevo dal DB

//$pKey mi arriva dal form
//$iv mi arriva dal DB
mcrypt_generic_init($td, $pKey, $iv);

// $decrypted mi arriva dal DB
echo $decryptedTestofinale = mdecrypt_generic($td, $pswd);
mcrypt_generic_deinit($td);

//// quindi ora ho $decryptedTestofinale che dovrebbe essere la password decrittata con l’IV del DB la pKey digitata dal form.

non mi resta che re-cryptare $decryptedTestofinale e compararlo con quello sul DB che è: $pswd

//a questo punto re inizializzo mcrypt per il re-crypt:

mcrypt_generic_init($td, $pKey, $iv);
echo $recrypt = mcrypt_generic($td, $$decryptedTestofinale);
mcrypt_generic_deinit($td);
mcrypt_module_close($td);

non ci crederai ma $pswd e $recrypt risultano sempre uguali indipendentemente se la $pKey è corretta oppure no…

quindi non riesco a comparare i due dati per verificare la password è esatta.

cosa sbaglio??? a me sembra più un bug di mcrypt… boh…

Grazie mille!!
Gianluca.

In generale comunque, per salvare una password crittata nel database, viene molto più comodo usare la funzione php sha1 o md5. Salvi nel db l’sha1 o l’md5 della password, poi al momento del login confronti quel valore con l’sha1 o l’md5 della password inserita nel form di login.

come faccio a verificare, una volta salvato l’IV e la password criptata sul DB, se la password inserita da un form è giusta? poichè il metodo mdecrypt_generic decripta anche se la pkey è sbagliata. quindi mi servirebbe un controllo che mi verificasse la validità della pkey inserita…. ho provato a ri-criptare l’output decriptato ma non funziona…. mi daresti una mano per cortesia? grazie!