Criptografar / Descriptografar AES

Cole texto e uma senha para criptografar ou descriptografar rapidamente com a cifra PHP OpenSSL selecionada. AES é a cifra de bloco simétrica padronizada pelo NIST no FIPS 197 e usada em muitos sistemas TLS, WPA2, VPN e de criptografia de disco, mas esta página é um utilitário para texto de baixo risco, não um cofre de segredos auditado. Para arquivos sensíveis ou segredos duradouros, use uma ferramenta offline como age, GnuPG ou 7-Zip.

Como criptografar texto com AES

  1. 1

    Escolha a cifra OpenSSL

    As opções atuais incluem variantes CBC, CTR e GCM. CBC e CTR não são autenticados, e esta ferramenta não armazena nem verifica uma tag de autenticação GCM.

  2. 2

    Digite uma senha

    A senha é resumida uma vez com SHA-256 para formar a chave AES. Não há PBKDF2, sal, Argon2 nem fator de trabalho, então use uma senha longa e aleatória.

  3. 3

    Cole texto de baixo risco

    Este é um utilitário Livewire/PHP OpenSSL no lado do servidor. Não cole senhas, chaves de produção, documentos privados ou segredos que você não enviaria a este site.

  4. 4

    Copie o resultado Base64

    A criptografia cria um IV aleatório, coloca esse IV antes do texto cifrado bruto e depois codifica os bytes combinados em Base64. Para descriptografar, use a mesma cifra e a mesma senha.

O que esta ferramenta realmente gera

Esta implementação usa PHP OpenSSL. Ao criptografar, ela resume a senha com SHA-256, gera um IV aleatório do tamanho exigido pela cifra selecionada, criptografa o texto e retorna:

Base64(IV || texto cifrado)

A saída não inclui sal, parâmetros de PBKDF2, HMAC nem tag de autenticação GCM. Ela não é compatível com formatos produzidos por Web Crypto, age, GnuPG, receitas de linha de comando do OpenSSL ou 7-Zip.

Opções AES em contexto

AES tem tamanho de bloco fixo de 128 bits (16 bytes) e tamanhos de chave padrão de 128, 192 e 256 bits. Aqui, a diferença de segurança importante não é apenas o tamanho da chave; é se a mensagem criptografada está autenticada.

Opção de cifra O que saber nesta ferramenta
AES-128-CBC / AES-192-CBC / AES-256-CBC Modo de bloco comum com IV aleatório e preenchimento PKCS#7. Precisa de um MAC separado, como HMAC-SHA-256, para detectar adulteração.
AES-256-CTR Transforma AES em um modo parecido com fluxo. Também precisa de autenticação separada e nunca deve reutilizar o mesmo IV/contador com a mesma chave.
AES-128-GCM / AES-256-GCM GCM normalmente é um modo AEAD, mas apenas quando a tag de autenticação é armazenada e verificada. A saída desta ferramenta não inclui essa tag, então não conte com ela para criptografia autenticada.

Lembretes de segurança

As orientações de armazenamento criptográfico da OWASP recomendam criptografia autenticada sempre que possível, ou criptografia mais um MAC separado. Tenha isso em mente com este utilitário:

  • É criptografia simétrica - a mesma senha descriptografa. Compartilhe-a por um canal diferente do texto cifrado.
  • Senhas fracas viram chaves fracas aqui - SHA-256 é rápido e sem sal, então um atacante pode testar palpites rapidamente se obtiver a saída.
  • CBC e CTR precisam de autenticação - sem HMAC ou outro MAC, um atacante pode conseguir alterar o texto cifrado sem detecção.
  • Não reutilize IV ou nonce com a mesma chave - a ferramenta gera um IV aleatório novo ao criptografar, mas dados externos colados devem seguir a mesma regra.
  • Use ferramentas auditadas para segredos reais - age, GnuPG e 7-Zip lidam com formatos de arquivo, metadados e autenticação com mais cuidado.

Perguntas frequentes

O componente atual aplica SHA-256 à senha e usa os bytes resultantes como material de chave para OpenSSL. Ele não usa PBKDF2, sal, scrypt nem Argon2, então uma senha curta ou reutilizada é arriscada.

Não. CBC e CTR precisam de um MAC separado, como HMAC-SHA-256, e embora GCM normalmente forneça autenticação AEAD, esta ferramenta não armazena nem verifica a tag GCM na saída Base64.

No servidor do site quando a ação Livewire executa PHP OpenSSL. Não é uma ferramenta Web Crypto apenas no navegador, então não cole segredos de alto valor, chaves privadas ou documentos sensíveis.

O resultado Base64 contém o IV aleatório seguido pelo texto cifrado bruto. O preenchimento CBC pode adicionar bytes, e Base64 aumenta dados binários em cerca de um terço. O formato salvo não contém sal nem tag de autenticação.

Esta ferramenta lida apenas com texto e deve ser reservada para trechos de baixo risco. Para arquivos ou segredos importantes, use um utilitário de criptografia offline auditado como age, GnuPG ou 7-Zip.

Ferramentas relacionadas