如何在 Haskell 中生成“安全随机”字符串令牌？

Question

我想生成字符串令牌来实现 Web 应用程序的密码重置功能。它们可以是v4 UUIDs，但不是必需的。

我希望每个令牌在this SO question 的意义上都是“安全随机的”。应该为每个生成的令牌对系统的熵池进行采样。

我找到了生成 v4 UUID 的 uuid 包。文档提到

我们使用 System.Random StdGen 作为我们的随机源。

但我不清楚这是否足够。

我应该使用其他库吗？

Answer 1

应在每个生成的令牌上对系统熵池进行采样的要求听起来很可疑。熵通常是一种稀缺资源。

让我们同意/dev/random 肯定出局了。其他进程可能需要它，它可能导致潜在的拒绝服务等。但首先，当它认为熵池不足时，/dev/random blocks 会在读取时被读取，因此它是绝对不可用的。另一方面，/dev/urandom 应该很好。有人说它在一些奇怪的情况下会出现问题（例如在无盘机器上启动之后），但我们不要去那里。

请注意，在大多数系统上/dev/[u]random 都使用相同的算法。不同之处在于/dev/urandom 从不阻塞，但也不一定在每次读取时使用任何新熵。因此，如果使用/dev/urandom 算作“对系统熵池进行采样”，那么无论您拥有正确使用的任何解决方案都可能没问题。

但是，它的代价是不纯洁。阅读/dev/urandom 迫使我们进入IO。作为haskellers，我们至少必须考虑替代方案，如果我们放弃熵样本的要求，我们就很幸运，这开始时似乎很奇怪。

相反，我们可以使用加密安全的确定性 RNG，并且只能从 /dev/random 中播种它。来自cryptonite 的ChaChaDRG 是DJB 的ChaCha 的一个实现，将是一个不错的选择。由于它是确定性的，我们只需要IO 即可获得初始种子。之后的一切都是纯净的。

Cryptonite 提供getRandomBytes，因此您可以调整令牌的长度以满足您的需求。