12.13. Шифрование и Функции Сжатия

Таблица 12.17. Функции шифрования

Имя	Описание
`AES_DECRYPT()`	Дешифруйте AES использования
`AES_ENCRYPT()`	Зашифруйте AES использования
`COMPRESS()`	Возвратите результат как двоичную строку
`DECODE()`	Декодирует зашифрованное использование строки, КОДИРУЮТ ()
`DES_DECRYPT()`	Дешифруйте строку
`DES_ENCRYPT()`	Зашифруйте строку
`ENCODE()`	Закодируйте строку
`ENCRYPT()`	Зашифруйте строку
`MD5()`	Вычислите контрольную сумму MD5
`OLD_PASSWORD()`	Возвратите значение пред4.1 реализаций ПАРОЛЯ
`PASSWORD()`	Вычислите и возвратите строку пароля
`SHA1()`, `SHA()`	Вычислите SHA 1 160-разрядная контрольная сумма
`SHA2()`	Вычислите SHA 2 контрольных суммы
`UNCOMPRESS()`	Распакуйте сжатую строку
`UNCOMPRESSED_LENGTH()`	Возвратите длину строки перед сжатием
`VALIDATE_PASSWORD_STRENGTH()`	Определите силу пароля

Многие шифрование и сжатие функционируют строки возврата, для которых результат мог бы содержать произвольные значения байта. Если Вы хотите сохранить эти результаты, используйте столбец с a VARBINARY или BLOB тип данных двоичных строк. Это избежит потенциальных проблем с удалением конечного пробела или преобразованием набора символов, которое изменило бы значения данных, те, которые могут произойти, если Вы используете нетип данных двоичных строк (CHAR, VARCHAR, TEXT).

Некоторое шифрование функционирует строки возврата символов ASCII: MD5(), OLD_PASSWORD(), PASSWORD(), SHA(), SHA1(), SHA2(). В MySQL 5.7 их возвращаемое значение является недвоичной строкой, у которой есть набор символов и сопоставление, определенное character_set_connection и collation_connection системные переменные.

Для того, версий, в который функции такой как MD5() или SHA1() возвратите строку шестнадцатеричных цифр как двоичная строка, возвращаемое значение не может быть преобразовано в верхний регистр или сравнено нечувствительным к регистру способом, как. Следует преобразовать значение в недвоичную строку. См. обсуждение преобразования двоичной строки в Разделе 12.10, "Функции броска и Операторы".

Если приложение хранит значения от функции такой как MD5() или SHA1() это возвращает строку шестнадцатеричных цифр, более эффективное хранение и сравнения могут быть получены, преобразовывая шестнадцатеричное представление двоичному использованию UNHEX() и хранение результата в a BINARY(N) столбец. Каждая пара шестнадцатеричных цифр требует одного байта в двоичной форме, таким образом, значение N зависит от длины шестнадцатеричной строки. N 16 для MD5() значение и 20 для a SHA1() значение. Для SHA2(), N диапазоны от 28 до 32 в зависимости от параметра, определяющего требуемую длину в битах результата.

Штраф размера за хранение шестнадцатеричной строки в a CHAR столбец по крайней мере два раза, до восьми раз, если значение сохранено в столбце, который использует utf8 набор символов (где каждый символ использует 4 байта). Хранение строки также приводит к более медленным сравнениям из-за больших значений и потребности принять правила сопоставления набора символов во внимание.

Предположите, что приложение хранит MD5() представьте значения в виде строки в a CHAR(32) столбец:

CREATE TABLE md5_tbl (md5_val CHAR(32), ...);INSERT INTO md5_tbl (md5_val, ...) VALUES(MD5('abcdef'), ...);

Чтобы преобразовать шестнадцатеричные строки в более компактную форму, измените приложение, чтобы использовать UNHEX() и BINARY(16) вместо этого следующим образом:

CREATE TABLE md5_tbl (md5_val BINARY(16), ...);INSERT INTO md5_tbl (md5_val, ...) VALUES(UNHEX(MD5('abcdef')), ...);

Приложения должны быть подготовлены обработать очень редкий случай, что хеш-функция производит то же самое значение для двух различных входных значений. Один способ сделать обнаруживаемые коллизии состоит в том, чтобы сделать столбец хеша первичным ключом.

Отметить

Использует для MD5 и SHA, 1 алгоритм стал известным. Можно хотеть рассмотреть использование одной из других функций шифрования, описанных в этом разделе вместо этого, такой как SHA2().

Предостережение

Пароли или другие чувствительные значения, предоставленные как параметры функциям шифрования, отправляются в простом тексте серверу MySQL, если соединение SSL не используется. Кроме того, такие значения появятся в любых журналах MySQL, которым они пишутся. Чтобы избежать этих типов воздействия, приложения могут зашифровать чувствительные значения на стороне клиента прежде, чем отправить им серверу. Те же самые соображения применяются к ключам шифрования. Чтобы избежать представлять их, приложения могут использовать хранимые процедуры, чтобы зашифровать и дешифровать значения на стороне сервера.

AES_DECRYPT(crypt_str,key_str)

Эта функция дешифрует данные, используя официальный AES (Усовершенствованный стандарт шифрования) алгоритм. Для получения дополнительной информации см. описание AES_ENCRYPT().
AES_ENCRYPT(str,key_str)

AES_ENCRYPT() и AES_DECRYPT() включите шифрованию и дешифрованию данных, используя официальный AES (Усовершенствованный стандарт шифрования) алгоритм, ранее известный как "Rijndael". Кодирование с 128-разрядной длиной ключа используется, но можно расширить его до 256 битов, изменяя источник. Мы выбрали 128 битов, потому что это намного быстрее, и это достаточно безопасно в большинстве целей.

AES_ENCRYPT() шифрует строку и возвращает двоичную строку. AES_DECRYPT() дешифрует зашифрованную строку и возвращает исходную строку. Входными параметрами может быть любая длина. Если любой параметр NULL, результат этой функции также NULL.

Поскольку AES является алгоритмом блочного уровня, дополнение используется, чтобы закодировать неравные строки длины и таким образом, строковая длина результата может быть вычислена, используя эту формулу:
```
16 * (trunc(string_length / 16) + 1)
```
Если AES_DECRYPT() обнаруживает недопустимые данные или неправильное дополнение, они возвращаются NULL. Однако, это возможно для AES_DECRYPT() возвратиться не -NULL значение (возможно мусор), если входные данные или ключ недопустимы.

Можно использовать функции AES, чтобы хранить данные в зашифрованной форме, изменяя Ваши запросы:
```
INSERT INTO t VALUES (1,AES_ENCRYPT('text','password'));
```
AES_ENCRYPT() и AES_DECRYPT() может считаться наиболее криптографически безопасными функциями шифрования, в настоящий момент доступными в MySQL.
COMPRESS(string_to_compress)

Сжимает строку и возвращает результат как двоичную строку. Эта функция требует, чтобы MySQL был скомпилирован с библиотекой сжатия такой как zlib. Иначе, возвращаемое значение всегда NULL. Сжатая строка может быть несжатой с UNCOMPRESS().
```
mysql> SELECT
                    LENGTH(COMPRESS(REPEAT('a',1000)));        -> 21mysql> SELECT
                    LENGTH(COMPRESS(''));        -> 0mysql> SELECT
                    LENGTH(COMPRESS('a'));        -> 13mysql> SELECT
                    LENGTH(COMPRESS(REPEAT('a',16)));        -> 15
```
Сжатое строковое содержание сохранено следующий путь:
- Пустые строки сохранены как пустые строки.
- Непустые строки сохранены как 4-байтовая длина несжатой строки (младший байт сначала), сопровождаются сжатой строкой. Если строка заканчивается пространством, дополнительное"."символ добавляется, чтобы избежать, чтобы проблемы с обрезкой endspace были должны результат быть сохраненными в a CHAR или VARCHAR столбец. (Однако, использование нетипов данных двоичных строк такой как CHAR или VARCHAR сохранить сжатые строки не рекомендуется так или иначе, потому что преобразование набора символов может произойти. Используйте a VARBINARY или BLOB столбец двоичной строки вместо этого.)
DECODE(crypt_str,pass_str)

Эта функция осуждается в MySQL 5.7 и будет удалена в будущем выпуске MySQL. Предпочтительно использовать AES_DECRYPT() вместо этого.

DECODE() дешифрует зашифрованную строку crypt_str использование pass_str как пароль. crypt_str должна быть строка, возвращенная из ENCODE().
DES_DECRYPT(crypt_str[,key_str])

Дешифрует строку, зашифрованную с DES_ENCRYPT(). Если ошибка происходит, эта функция возвраты NULL.

Эта функция работает, только если MySQL был сконфигурирован с поддержкой SSL. См. Раздел 6.3.9, "Используя SSL для Безопасных Соединений".

Если нет key_str параметр дается, DES_DECRYPT() исследует первый байт зашифрованной строки, чтобы определить ключевое число DES, которое использовалось, чтобы зашифровать исходную строку, и затем читает ключ из файла ключей DES, чтобы дешифровать сообщение. Для этого, чтобы работать, пользователь должен иметь SUPER полномочие. Файл ключей может быть определен с --des-key-file параметр сервера.

Если Вы передаете эту функцию a key_str параметр, та строка используется в качестве ключа для того, чтобы дешифровать сообщение.

Если crypt_str параметр, кажется, не зашифрованная строка, MySQL возвращает данный crypt_str.
DES_ENCRYPT(str[,{key_num|key_str}])

Шифрует строку с данным ключом, используя алгоритм Тройного DES.

Эта функция работает, только если MySQL был сконфигурирован с поддержкой SSL. См. Раздел 6.3.9, "Используя SSL для Безопасных Соединений".

Ключ шифрования, чтобы использовать выбирается основанный на втором параметре DES_ENCRYPT(), если Вам дали. Без параметра используется первый ключ от файла ключей DES. С a key_num параметр, данное ключевое число (от 0 до 9) от файла ключей DES используется. С a key_str параметр, данная ключевая строка используется, чтобы зашифровать str.

Файл ключей может быть определен с --des-key-file параметр сервера.

Строка возврата является двоичной строкой, где первый символ CHAR(128 | key_num). Если ошибка происходит, DES_ENCRYPT() возвраты NULL.

Эти 128 добавляются, чтобы облегчить распознавать зашифрованный ключ. Если Вы используете строковый ключ, key_num 127.

Строковая длина для результата дается этой формулой:
```
new_len = orig_len + (8 - (orig_len % 8)) + 1
```
У каждой строки в файле ключей DES есть следующий формат:
```
key_num des_key_str
```
Каждый key_num значение должно быть числом в диапазоне от 0 к 9. Строки в файле могут быть в любом порядке. des_key_str строка, которая используется, чтобы зашифровать сообщение. Должно быть по крайней мере одно пространство между числом и ключом. Первый ключ является ключом значения по умолчанию, который используется, если Вы не определяете ключевого параметра DES_ENCRYPT().

Можно сказать MySQL читать новые значения ключа из файла ключей с FLUSH DES_KEY_FILE оператор. Это требует RELOAD полномочие.

Одно преимущество наличия ряда ключей значения по умолчанию - то, что это дает приложениям способ проверить на существование зашифрованных значений столбцов, не давая конечного пользователя право дешифровать те значения.
```
mysql> SELECT customer_address FROM
                    customer_table      > WHERE crypted_credit_card =
                    DES_ENCRYPT('credit_card_number');
```
ENCODE(str,pass_str)

ENCODE() шифрует str использование pass_str как пароль. Результатом является двоичная строка той же самой длины как str. Чтобы дешифровать результат, использовать DECODE().

Отметить

ENCODE() функция осуждается в MySQL 5.7, будет удалена в будущем выпуске MySQL, и больше не должна использоваться. Предпочтительно использовать AES_ENCRYPT() вместо этого.

Чтобы уменьшить риск, соленое значение должно использоваться с ENCODE(). Например:
```
ENCODE('plaintext', CONCAT('my_random_salt','my_secret_password'))
```
Новое случайное соленое значение должно использоваться всякий раз, когда пароль обновляется.
ENCRYPT(str[,salt])

Шифрует str использование Unix crypt() системный вызов и возвраты двоичная строка. salt параметром должна быть строка по крайней мере с двумя символами, или результат будет NULL. Если нет salt параметр дается, случайное значение используется.
```
mysql> SELECT
                    ENCRYPT('hello');        -> 'VxuFAJXVARROc'
```
ENCRYPT() игнорирует все кроме первых восьми символов str, по крайней мере, на некоторых системах. Это поведение определяется реализацией базового crypt() системный вызов.

Использование ENCRYPT() с ucs2, utf16, utf16le, или utf32 многобайтовые наборы символов не рекомендуются, потому что системный вызов ожидает строку, завершенную нулевым байтом.

Если crypt() не доступно на Вашей системе (как имеет место с Windows), ENCRYPT() всегда возвраты NULL.
MD5(str)

Вычисляет 128-разрядную контрольную сумму MD5 для строки. Значение возвращается как строка 32 шестнадцатеричных цифр, или NULL если параметр был NULL. Возвращаемое значение может, например, использоваться в качестве ключа хеша. См. примечания в начале этого раздела о хранении значений хэш-функции эффективно.

Возвращаемое значение является недвоичной строкой в наборе символов соединения.
```
mysql> SELECT
                    MD5('testing');        -> 'ae2b1fca515949e5d54fb22b8ed95575'
```
Это - "RSA Data Security, Inc. Алгоритм Обзора сообщения MD5."

См., что примечание расценивает алгоритм MD5 вначале этот раздел.
OLD_PASSWORD(str)

OLD_PASSWORD() был добавлен когда реализация PASSWORD() был изменен в MySQL 4.1, чтобы улучшить безопасность. OLD_PASSWORD() возвращает значение пред4.1 реализаций PASSWORD() как строка, и предназначается, чтобы разрешить Вам сбрасывать пароли для любых пред4.1 клиентов, которые должны соединиться с Вашим сервером MySQL версии 5.7, не блокируя им. См. Раздел 6.1.2.4, "Пароль, Хеширующий в MySQL".

Возвращаемое значение является недвоичной строкой в наборе символов соединения.
PASSWORD(str)

Вычисляет и возвращает хешированную строку пароля из пароля в виде открытого текста str и возвращает недвоичную строку в наборе символов соединения, или NULL если параметр NULL. Эта функция является интерфейсом SQL к алгоритму, используемому сервером, чтобы зашифровать пароли MySQL для хранения в mysql.user таблица предоставления.

Метод хеширующего пароля, используемый PASSWORD() зависит от значения old_passwords системная переменная:
```
mysql> SET old_passwords =
                    0;mysql> SELECT
                    PASSWORD('mypass');+-------------------------------------------+| PASSWORD('mypass')                        |+-------------------------------------------+| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |+-------------------------------------------+mysql> SET old_passwords = 1;mysql> SELECT PASSWORD('mypass');+--------------------+| PASSWORD('mypass') |+--------------------+| 6f8c114b58f2ce9e   |+--------------------+
```
Если old_passwords=1, PASSWORD('str') возвращает то же самое значение как OLD_PASSWORD('str').

SHA 256 хеширующих паролей (old_passwords=2) использует случайное соленое значение, которое делает следствие PASSWORD() недетерминированный. Следовательно, операторы, которые используют эту функцию, не безопасны для основанной на операторе репликации и не могут быть сохранены в кэше запроса.

Для описаний разрешенных значений old_passwords, см. Раздел 5.1.4, "Системные Переменные Сервера".

Шифрование, выполняемое PASSWORD() является односторонним (не обратимый). Это не тот же самый тип шифрования как использующийся для паролей Unix; для этого использовать ENCRYPT().

Отметить

PASSWORD() функция используется системой аутентификации в MySQL Server; недопустимо использовать это в своих собственных приложениях. С этой целью рассмотреть MD5() или SHA2() вместо этого. Также см. RFC 2195, раздел 2 (Механизм Аутентификации типа "запрос-ответ" (CRAM)), для получения дополнительной информации об обработке паролей и аутентификации надежно в Ваших приложениях.

Важный

Операторы, которые вызывают PASSWORD() может быть записан в журналах сервера или в файле истории такой как ~/.mysql_history, что означает, что пароли в виде открытого текста могут быть считаны любым имеющим доступ для чтения к той информации. См. Раздел 6.1.2, "Сохраняя Пароли, Безопасные".
SHA1(str), SHA(str)

Вычисляет SHA 1 160-разрядная контрольная сумма для строки, как описано в RFC 3174 (Безопасный Хеш-алгоритм). Значение возвращается как строка 40 шестнадцатеричных цифр, или NULL если параметр был NULL. Одно из возможных применений для этой функции как ключ хеша. См. примечания в начале этого раздела о хранении значений хэш-функции эффективно. Можно также использовать SHA1() как криптографическая функция для того, чтобы сохранить пароли. SHA() синонимично с SHA1().

Возвращаемое значение является недвоичной строкой в наборе символов соединения.
```
mysql> SELECT
                    SHA1('abc');        -> 'a9993e364706816aba3e25717850c26c9cd0d89d'
```
SHA1() может считаться криптографически более безопасным эквивалентом MD5(). Однако, см., что примечание расценивает MD5 и SHA 1 алгоритм вначале этот раздел.
SHA2(str, hash_length)

Вычисляет SHA 2 семейства хеш-функций (SHA 224, SHA 256, SHA 384, и SHA 512). Первым параметром является строка открытого текста, которая будет хеширована. Второй параметр указывает на требуемую длину в битах результата, у которого должно быть значение 224, 256, 384, 512, или 0 (который эквивалентен 256). Если любой параметр NULL или длина хеша не является одним из разрешенных значений, возвращаемое значение NULL. Иначе, функциональным результатом является значение хэш-функции, содержащее требуемое число битов. См. примечания в начале этого раздела о хранении значений хэш-функции эффективно.

Возвращаемое значение является недвоичной строкой в наборе символов соединения.
```
mysql> SELECT SHA2('abc',
                    224);        -> '23097d223405d8228642a477bda255b32aadbce4bda0b3f7e36c9da7'
```
Эта функция работает, только если MySQL был сконфигурирован с поддержкой SSL. См. Раздел 6.3.9, "Используя SSL для Безопасных Соединений".

SHA2() может считаться криптографически более безопасным чем MD5() или SHA1().
UNCOMPRESS(string_to_uncompress)

Распаковывает строку, сжатую COMPRESS() функция. Если параметром не является сжатое значение, результат NULL. Эта функция требует, чтобы MySQL был скомпилирован с библиотекой сжатия такой как zlib. Иначе, возвращаемое значение всегда NULL.
```
mysql> SELECT UNCOMPRESS(COMPRESS('any
                    string'));        -> 'any string'mysql> SELECT
                    UNCOMPRESS('any string');        -> NULL
```
UNCOMPRESSED_LENGTH(compressed_string)

Возвращает длину, которую сжатая строка имела прежде, чем быть сжатым.
```
mysql> SELECT
                    UNCOMPRESSED_LENGTH(COMPRESS(REPEAT('a',30)));        -> 30
```

VALIDATE_PASSWORD_STRENGTH(str)

Учитывая параметр, представляющий пароль в виде открытого текста, эта функция возвращает целое число, чтобы указать, как strong пароль. Возвращаемое значение колеблется от 0 (слабый) к 100 (strong).

Пароль подвергается все более и более строгим тестам, и возвращаемое значение отражается, какие тесты были удовлетворены, как показано в следующей таблице.

Тест пароля	Возвращаемое значение
Длина <4	0
Длина ≥ 4 и <`validate_password_length`	25
Удовлетворяет политику 1 (`LOW`)	50
Удовлетворяет политику 2 (`MEDIUM`)	75
Удовлетворяет политику 3 (`STRONG`)	100

Оценка пароля VALIDATE_PASSWORD_STRENGTH() делается validate_password плагин. Если тот плагин не устанавливается, функция всегда возвращается 0. Для получения информации об установке validate_password плагин, см. Раздел 6.1.2.6, "Плагин Проверки допустимости Пароля". Чтобы исследовать или сконфигурировать параметры, которые влияют на тестирование пароля, проверьте или установите системные переменные, реализованные validate_password плагин. См. Раздел 6.1.2.6.2, "Опции Плагина Проверки допустимости пароля и Переменные".