php - 什么使 openssl_random_pseudo_bytes "cryptographically secure"？

Question

我一直被告知在给密码加盐时应该使用 openssl_random_pseudo_bytes。

但我真正想知道的是，是什么让它在密码学上是安全的。 rand 之间的内部区别是什么？ , mt_rand和 openssl_random_pseudo_bytes ？

提前致谢。

Answer 1

区别简而言之:

• rand 使用 libc 随机数生成器 ( source )，它取决于系统并且通常不是加密安全的
• mt_rand 使用已知算法，Mersenne Twister ， 由此得名;这是一种快速算法，可以生成分布良好但不是加密安全的随机数
• openssl_random_pseudo_bytes 直接调用 OpenSSL system for cryptographically-secure randoms (但请参阅完整说明中的警告)

属性也列在下表中:

rand

rand 在 mt_rand 中说明:

Many random number generators of older libcs have dubious or unknown characteristics and are slow.

因此，对于 rand，您必须查看您的 libc 以确定实际使用的是哪个随机数。 Mersenne Twister 网站上说它现在应该有相当的速度，但它的特性取决于系统。它也没有说明它是如何播种的，这意味着您可以将它用于游戏等，但不能用于其他用途。

mt_rand

Mersenne Twister 是一种众所周知的算法，可以产生分布良好的随机数。它有一个很长的周期，这意味着它需要很长时间才能遇到前一个状态(如果发生这种情况，它就会停留在循环中，循环的大小称为周期)。 MT 是不安全的，因为在给定足够数据的情况下可以重建其安全状态。这意味着如果您首先生成一个 key ，然后将该算法用于其他用途，那么攻击者可能会在提供足够输出的情况下重新创建 key 。此外，在创建时使用非安全种子作为系统时间。

openssl_random_pseudo_bytes

OpenSSL 的随机数生成器通常是加密安全的(见下面的注释)；这意味着不可能根据生成器的输出重新计算内部状态。

OpenSSL 的伪随机数生成器是使用散列函数构建的，目前是 MD5，它对于生成随机数应该仍然是安全的。它分布良好，并且像 MT 算法一样具有高周期。 OpenSSL 的 rand 比 MT 慢很多，但它应该仍然可以获得相当不错的速度。

与 OS 随机数生成器相比，它的优势在于不需要额外的线程或系统调用。 OpenSSL 使用操作系统随机数生成器(+ 可能的其他来源)来创建初始种子。操作系统随机生成器通常是可用的最佳随机数生成器，因为操作系统可以访问库和应用程序无法直接使用的熵源。

警告:在 OpenSSL 的 Wiki 上声明:

RAND_pseudo_bytes returns pseudo-random bytes which can be cryptographically strong. The function returns 1 if the bytes are cryptographically strong, and 0 otherwise. If your application has high integrity requirements, it should not use RAND_pseudo_bytes.

通过PHP函数体现:

If passed into the function, this will hold a boolean value that determines if the algorithm used was "cryptographically strong", e.g., safe for usage with GPG, passwords, etc. TRUE if it did, otherwise FALSE

这意味着它可能仍然不安全，例如长期 key 。

警告 #2:额外的洞察表明 OpenSSL 的 PRNG 可能并不总是安全的无论返回值如何。因此，在选择 OpenSSL 之前应格外小心。