DESの暗号化が、Fortifyには、私はDESの暗号化すると解読

Question

PHP 5.5.22に弱い暗号化を報告しますが、レポートを強化し、彼らがどのように私はこの問題を解決することができます弱い暗号化 ていると言いますか？

暗号

function encrypt($key, $encrypt) 
    { 
     $size = mcrypt_get_block_size(MCRYPT_DES, MCRYPT_MODE_CBC); 
     $pad = $size - (strlen($encrypt) % $size); 
     $encrypt = $encrypt . str_repeat(chr($pad), $pad); 
     $data = mcrypt_encrypt(MCRYPT_DES, $key, $encrypt, MCRYPT_MODE_CBC, $key); 

     return base64_encode($data); 
    } 

解読

function decrypt($key, $decrypt) 
    { 
     $decrypt = base64_decode($decrypt); 
     $decrypt = mcrypt_decrypt(MCRYPT_DES, $key, $decrypt, MCRYPT_MODE_CBC, $key); 
     $pad = ord($decrypt{strlen($decrypt) - 1}); 

     if ($pad > strlen($decrypt)) { 
      return false; 
     } 

     if (strspn($decrypt, chr($pad), strlen($decrypt) - $pad) != $pad) { 
      return false; 
     } 

     return substr($decrypt, 0, -1 * $pad); 
    } 

レポート IssueGroup弱い暗号化

} 

    $size = mcrypt_get_block_size(MCRYPT_DES, MCRYPT_MODE_CBC); 
    $pad = $size - (strlen($encrypt) % $size); 
    $encrypt = $encrypt . str_repeat(chr($pad), $pad); 

と

{ 
     $decrypt = base64_decode($decrypt); 
     $decrypt = mcrypt_decrypt(MCRYPT_DES, $key, $decrypt, MCRYPT_MODE_CBC, $key); 
     $pad = ord($decrypt{strlen($decrypt) - 1}); 

Answer 1

DES は、実際には、弱い暗号化です。 90年代に24時間以内に公開されましたが、キーが短すぎると、ブルートフォース攻撃でクラックする可能性があります。これはもはや動機付けられた攻撃者に対する防御としては適していません。 3DES、AES、Twofishな​​ど、いくつかのオプションが用意されています。

編集： 3DESは、あなたがしているので（それははるかに安全な（しかしまだAESよりも安全）ですが、その性能は必然的にAES、DES、またはTwofishはより大幅に悪化しているという意味で、DESよりも優れています本質的にDESを3回適用する）。 3DESは、新しい実装ではめったに使用されません。