在构建 Web 应用程序时,我想知道我需要多长时间(多少位)才能用作加密密钥 - 以及我是否可以在键盘上混合出随机字符序列,或者我是否需要一些特殊的软件来为我生成一些东西?
(即从 ssh-keygen 之类的东西中窃取私有 RSA)
更新:我将在 PHP 的 mcrypt library 中使用这个键,但我也对 c++ 选项感兴趣(都在 linux 上)。
【问题讨论】:
标签: security encryption cryptography
大多数加密库都有生成会话密钥的工具。看在上帝的份上,不要尝试自己动手。
【讨论】:
如果可能,您应该使用 /dev/urandom。这是一个熵池,其中填充了非常接近真实随机数生成器的东西。这里有更多关于entropy pools 和熵源的信息。
【讨论】:
您在这里并没有将苹果与苹果进行比较。我所知道的大部分 openssl、gpg、pgp 程序都不会仅从您键入的字符中获取输入。它们可能会从击键之间的时间(pgp 这样做)中获取一些时间,但它们也会从您的操作系统收集的其他来源中获取随机性:磁盘访问时间、数据包间到达时间和其他来源。这些组合起来生成“随机”数字以供加密使用。
密钥长度有些不同。 NIST 提出了有关密钥长度的建议,您可能需要研究一下。话虽如此,密钥长度几乎从来都不是安全链中最薄弱的环节。
选择合理的密钥大小,但不要忘记在security engineering 的所有其他领域付出努力。这本书的第一版在网络上,是一个巨大的资源。
【讨论】: