在PHP中,RSA证书的大小(通常是密钥的长度,如1024位、2048位或更高)是由你生成的密钥对或你获得的证书决定的。RSA算法有一个固定的加密数据块大小限制,这取决于密钥的长度和所使用的填充方案。例如,对于PKCS#1 v1.5填充,加密的数据块大小通常小于密钥长度(以字节为单位)减去11(对于SHA-1)或减去41(对于SHA-256)。
由于这个限制,当你要加密的数据超过这个限制时,你需要将数据分段,并对每一段分别进行加密。
依赖的PHP扩展
首先确保你的PHP环境中安装了OpenSSL扩展。
sudo apt-get install php-openssl
分段RSA加密
function rsa_encrypt_segments($data, $publicKey, $padding = OPENSSL_PKCS1_PADDING) { // 获取公钥的详细信息 $publicKeyDetails = openssl_pkey_get_details(openssl_pkey_get_public($publicKey)); $keyBits = $publicKeyDetails['bits']; $maxBytes = intval($keyBits / 8) - 11; // 减去填充和哈希字节(假设使用SHA-1) // 如果使用SHA-256或其他哈希算法,可能需要减去更多字节 // $maxBytes = intval($keyBits / 8) - 41; // 假设使用SHA-256 $encrypted = ''; // 分割数据为较小的块 for ($offset = 0; $offset < strlen($data); $offset += $maxBytes) { $chunk = substr($data, $offset, $maxBytes); // 如果最后一个块小于$maxBytes,则只加密该块 if (strlen($chunk) < $maxBytes && $offset + $maxBytes > strlen($data)) { $chunk = substr($data, $offset); } $encryptedChunk = ''; if (openssl_public_encrypt($chunk, $encryptedChunk, $publicKey, $padding)) { $encrypted .= $encryptedChunk; } else { // 处理错误 return false; } } return base64_encode($encrypted); // 返回base64编码的加密数据
} // 示例使用
$publicKey = file_get_contents('path_to_public_key.pem');
$data = 'your_long_data_here';
$encryptedData = rsa_encrypt_segments($data, $publicKey);
分段RSA解密
function rsa_decrypt_segments($encryptedData, $privateKey, $padding = OPENSSL_PKCS1_PADDING) { $decrypted = ''; // 先进行base64解码 $decodedData = base64_decode($encryptedData); // 获取私钥的详细信息(虽然这里不需要,但为了完整性) $privateKeyDetails = openssl_pkey_get_details(openssl_pkey_get_private($privateKey)); $keyBits = $privateKeyDetails['bits']; $maxBytes = intval($keyBits / 8); // 解密时通常不需要减去填充和哈希字节,但需要处理填充 // 假设加密数据时使用的是固定的块大小进行加密 for ($offset = 0; $offset < strlen($decodedData); $offset += $maxBytes) { $chunk = substr($decodedData, $offset, $maxBytes); $decryptedChunk = ''; if (openssl_private_decrypt($chunk, $decryptedChunk, $privateKey, $padding)) { $decrypted .= $decryptedChunk; } else { // 处理错误 return false; } // 去除可能的填充字符(PKCS#1 v1.5填充) // 注意:这里只是简单地去掉最后一个可能的填充字符,实际情况可能需要更复杂的处理 $decrypted = rtrim($decrypted, "\0"); } // 如果使用PKCS#1 v1.5填充,并且数据被正确填充,上面的rtrim调用可能已经足够了 // 但如果是OAEP填充或其他填充方式,则需要更复杂的处理 return $decrypted;
} // 示例使用
$privateKey = file_get_contents('path_to_private_key.pem');
$decryptedData = rsa_decrypt_segments($encryptedData, $privateKey);
注意:
-
在解密时,需要确保能够正确处理填充。在上面的示例中,我简单地使用了
rtrim
来去除末尾的\0
字符,这是PKCS#1 v1.5填充的一个常见做法。但是,如果你的数据使用了不同的填充方式(如OAEP),那么你需要使用更复杂的逻辑来处理填充。 -
当处理大量数据时,分段加密和解密可能会引入性能问题。如果可能的话,考虑使用更高效的加密方案,如AES,并结合RSA来安全地传输密钥