PHP 中的随机数——你觉得可靠么?
来源:互联网 发布:prezi 5.2.3 for mac 编辑:程序博客网 时间:2024/05/26 16:02
摘要: 本文主要分析以加密为目的的随机数生成问题。PHP 5 并未提供生成强加密随机数的简便机制,但是,PHP 7 引入了两个 CSPRNG 函数以解决该问题。系 OneAPM 工程师编译整理。 PHP 中的随机数——你觉得可靠么? 什么是 CSPRNG? 引用维基百科的定义,密码安全的虚拟随机数生成器(Cryptographically Secure Pseudorandom Number Generator,CSPRNG)是带有特定属性使之在密码学中适用的虚拟随机数生成器(pseudo-random number generator,PRNG)。
本文主要分析以加密为目的的随机数生成问题。PHP 5 并未提供生成强加密随机数的简便机制,但是,PHP 7 引入了两个 CSPRNG 函数以解决该问题。系 OneAPM 工程师编译整理。
PHP 中的随机数——你觉得可靠么?
什么是 CSPRNG?
引用维基百科的定义,密码安全的虚拟随机数生成器(Cryptographically Secure Pseudorandom Number Generator,CSPRNG)是带有特定属性使之在密码学中适用的虚拟随机数生成器(pseudo-random number generator,PRNG)。
CSPRNG 主要用于:
生成键(比如:生成复杂的键)
为新的用户账号生成随机密码
加密系统
保证高安全水准的一个重要因素便是高质量的随机数。
PHP 7 中的 CSPRNG
PHP 7 为 CSPRNG 引入了两种新函数:random_bytes 与 random_int。
random_bytes 函数返回 string 类型,并接受一个 int 类型为参数,该参数规定了所返回字符串的字节长度。
例如:
举例:
幕后解密
以上函数的随机数来源因环境不同而有所差异:
在 Windows 系统,会使用 CryptGenRandom() 函数。
在其他平台,会优先使用 arc4random_buf() 函数(限 BSD 衍生系统或带 libbsd 的系统)。
若以上两点均不符合,会使用 Linux getrandom(2) 系统调用。
若以上来源均不符合,会抛出 Error。
一个简例
一个好的随机数生成系统能确保生成质量适合的随机数。为了检验质量,需要运行一系列的统计试验。此处,暂不深入讨论复杂的统计话题,将已知的行为与随机数生成器的结果进行比较,有助于质量评估。
一个简单的测试方法是掷骰游戏。假设投掷一次,投出6的概率是1/6。如果同时投掷三个骰子,投100次,投得零次、一次、两次及三次6的次数大概是:
0 次6 = 57.9 次
1 次6 = 34.7 次
2 次6 = 6.9 次
3 次6 = 0.5 次
以下是骰子投掷100万次的代码:
用 PHP 7 的 random_int 与简单的 rand 函数测试上面的代码,可能会得到:
更直观地查看 rand 与 random_int 的差别,可以运用方程式放大两组结果的差异,并绘制成图表:
php result - expected result / sqrt(expected)
得到的结果如下:
(结果越接近零越好)
即便三个6的组合表现一般,且该测试与真实应用相比太过简单,我们也能清楚地看到 random_int 的表现优于 rand。况且,随机数生成器的可预见行为、重复行为越少,应用的安全程度就更高。
PHP 5 又如何呢?
默认情况下,PHP 5 并未提供任何强虚拟随机数生成器。而实际使用中,可以使用 openssl_random_pseudo_bytes()、mcrypt_create_iv() 方法,或直接结合使用 /dev/random 或 /dev/urandom 与 fread() 方法。此外,还有包 RandomLib 或 libsodium。
如果你想用一个比较好的随机数生成器,同时能与 PHP 7 兼容,你可以使用 Paragon Initiative 公司的 random_compat 库。该库允许在 PHP 5.x 项目中使用 random_bytes() 与 random_int() 方法。
该库可以使用 Composer 进行安装:
该 random_compat 库使用了与 PHP 7 中不同的优先序列:
想了解为何采用这一优先序列,可以阅读本文档。
使用该库生成密码的简单案例如下:
总结
你应该尽量使用在密码学上安全的虚拟随机数生成器。random_compat 库为此提供了很好的实现方法。
原文链接
- PHP 中的随机数——你觉得可靠么?
- PHP 中的随机数——你觉得可靠么?
- GTD矩阵测试—你觉得自己在哪个象限?
- AxureStore,现在你可以在线购买了——如果你觉得对你有帮助
- PHP生成随机数——rand()
- OC中的随机数函数——arc4random()
- 笔记39---你觉得你会listview了么
- 面试问题你觉得你能胜任么
- 你觉得老板是你坑死的么?
- C++学习方法之二——如果看了一你还觉得难的话
- IT人事们,你觉得你更像《挪威的森林》中的谁?
- PHP——生成随机数和日期时间
- PHP随机数
- php随机数
- PHP随机数
- php随机数
- PHP随机数
- 你的防火墙可靠吗
- ARM的编程模型
- 软件开发中的瀑布模型
- GIT常用操作指令
- URL.createObjectURL和URL.revokeObjectURL
- PHP四种基础算法详解
- PHP 中的随机数——你觉得可靠么?
- int、bigint、smallint、mediumint、tinyint区别
- Android层叠式卡片效果实现!(高大上)
- 简单几招捕获Oracle递归SQL调用源头
- 枚举ordinal与name
- [deep compression] compressing deep neural networks 论文学习
- 《大话设计模式》——读后感 (4)为别人做嫁衣?——静态代理模式(1)
- React实战——一起来做个记事本吧!
- fiddler代理设置问题导致出现“The system proxy was changed,click to reenable fiddler capture”解决办法