Correspondance de cryptage de mot de passe ASP/PHP

Il faudrait connaître la manière dont c'est crypté. Logiquement, si c'est bien fait, ce n'est pas réversible donc il faudrait soit :

- appliquer le même cryptage si il est possible d'avoir une correspondance entre la fonction asp en php.
- inviter les utilisateurs a ressaisir de nouveau mot de passe et validant l'opération via un mail ou éventuellement les recréer à la main si la tâche n'est pas trop laborieuse ou gênante vis à vis des clients.

salut,
en temps normal, on devrait parler de hashage et non de cryptage. Avec quelle fonction ASP cela est fait ?

Bonjour à tous,

Merci d'avoir pris le temps de me répondre et pour les explications.
Vous trouverez ci-dessous les fonctions qui permettent d'encrypter les mots de passe :

sPlain = "0000000000000000"
	
g_CryptThis = sPlain
Const g_KeyLocation = "/code.txt"
Dim g_Key
g_Key = mid(ReadKeyFromFile(g_KeyLocation),1,Len(g_CryptThis))

Function ReadKeyFromFile(strFileName)
	   Dim keyFile, fso, f
	   set fso = Server.CreateObject("Scripting.FileSystemObject") 
	   set f = fso.GetFile(strFileName) 
	   set ts = f.OpenAsTextStream(1, -2)
	   Do While not ts.AtEndOfStream
		 keyFile = keyFile & ts.ReadLine
	   Loop 
	   ReadKeyFromFile = keyFile
End Function

sPassword = g_Key

MyEncrypt(sPlain, sPassword)

Public Function MyEncrypt(sPlain, sPassword)
	Dim bytIn()
	Dim bytPassword()
	Dim lLength
	Dim lCount
	Dim sTemp
	    
	lLength = Len(sPlain)
    ReDim bytIn(lLength-1)
    For lCount = 1 To lLength
        bytIn(lCount-1)=CByte(AscB(Mid(sPlain,lCount,1)))
    Next

    lLength = Len(sPassword)
    ReDim bytPassword(lLength-1)
    For lCount = 1 To lLength
        bytPassword(lCount-1)=CByte(AscB(Mid(sPassword,lCount,1)))
    Next
	
    bytOut = EncryptData(bytIn, bytPassword)
    
    sTemp = ""
    For lCount = 0 To UBound(bytOut)
        sTemp = sTemp & Right("0" & Hex(bytOut(lCount)), 2)
    Next
    MyEncrypt = sTemp
End Function

// fichier code.txt

AZÂEsdfkgflfgd++*+@fmgkgfdg54_-$^tyh*ùg1g56g4dfggdf+

Cordialement,
Modifié par dinolam (08 Aug 2016 - 10:33)

Comme déjà expliqué, c'est très risqué, d'une part d'avoir ses propres fonctions de cryptage (ou chiffrage pour parler en bon français) et surtout de les utiliser pour des mots de passe.

PHP fournit à partir de sa version 5.5 des fonctions natives de hachage. Tu utiliseras principalement password_hash et password_verify pour contrôler tes mots de passe.
Si tu travailles avec une version antérieure (tu devrais changer d'hébergeur ) ou plus raisonnablement passer par une librairie qui te permet une compatibilité.

Si tu tiens quand même à avoir des fonctions pour chiffrer tes données qui pourrait toujours s'avérer utiles, je te conseillerais vivement de passer par des libraires crées par des pros car le chiffrage de données n'est pas une affaire si simple et même avec les fonctions natives de PHP, tu arriveras forcément à un moment où tu t'arracheras les cheveux si tu ne maîtrises pas les notions de bases.
En voici donc deux des plus fiables qui existent : defuse et libsodium.
La première est plus facile à utiliser.

Re,

Merci encore pour vos réponses !
La solution avec les librairies me semble très compliquée et je ne suis pas sûr d'aboutir au résultat final. Est-ce que vous pensez qu'il y a un autre moyen à partir de mon site php après un log de faire transiter par une page ASP pour crypter les mots de passe ?

Cdlt,

Je pense qu'il y a un malentendu.
Il te faut vraiment éviter de crypter (ou chiffrer) tes mots de passes et surtout avec tes propres fonctions. Il faut à tout prix procéder à un hachage.

La première chose que tu devrais faire et de simplement créer un script PHP qui déchiffrerait l'ensemble des mots de passes dans ta BDD en utilisant le même principe que ta fonction en ASP. Sans les restocker en clair, tu les haches directement dans le script et tu les enregistres au fur et à mesure.
Comme spécifié dans mon message précédent, PHP inclut des fonctions natives de hachage, donc pas besoin de librairies (la librairie proposée est pour une rétrocompatibilité relative aux versions antérieures à 5.5).

Cependant, tu devrais laisser cette étape en dernier (une fois ta migration finie) car une fois tes mots de passes hachés, il seront forcément inaccessibles à tes anciens scripts.

Les librairies de chiffrement sont un plus. Je les ai ajouté en lien pour les avoir sous la main le jour où tu en auras besoin.
Je me répète peut être mais le chiffrement de données n'est pas une simple affaire et tu dois en connaître les principes au risque d'aboutir à des erreurs de déchiffrement récurrentes.

Les fonctions natives en PHP sont soit obsolètes soit mal documentées (en ce qui concerne openssl)

Et une dernière chose, ne laisse jamais tes clés de chiffrement sur un forum !

Tes mots de passes ne sont pour l'instant pas hachés mais simplement chiffrés avec ta fonction ASP.
Tu devrais, comme déjà suggéré, retranscrire ta fonction ASP en PHP.

Je n'ai pas compris ce que tu fais vraiment avec le bout de code que tu as partagé mais ça pourrait donner un truc du genre (en essayant de ne pas changer tes variables même si ça pourrait être simplifié):

<?php

	function MyEncrypt($sPlain, $sPassword) {

		foreach(str_split($sPlain) as $v)
			$bytIn[] = ord($v);

		foreach(str_split($sPassword) as $v)
			$bytPassword[] = ord($v);

		$sTemp = '';
		foreach(EncryptData($bytIn, $bytPassword) as $v)
			$sTemp .= substr('0'.dechex($v), -2);

	}
	
	define('G_KEYLOCATION', '/code.txt');

	$sPlain = "0000000000000000";

	$g_CryptThis = $sPlain;
	$g_Key = file_get_contents(G_KEYLOCATION);

	$sPassword = $g_Key;

Cependant, on ignore ce que contient ta fonction EncryptData. Il faudrait donc la convertir aussi en PHP pour que ça marche.