使 mt_rand() 尽可能安全

Question

我正在编写一个抽奖程序，其中人们有一些门票，这些门票由 1 到 100 范围内的自然数标记。

我用mt_rand(1,100)生成中奖号码，然后输出到网站，大家可以看到。

现在我做了一些研究，从 Mersene wiki 文章中发现：

观察足够数量的迭代（在 MT19937 的情况下为 624，因为这是产生未来迭代的状态向量的大小）允许人们预测所有未来的迭代。

mt_rand() MT19937使用的是当前版本吗？

如果是这样，我该怎么做才能使我生成的数字在密码学上更加安全？

提前致谢:-)

Answer 1

简短的回答：

如果是这样，我该怎么做才能使我生成的数字在密码学上更加安全？

您可以简单地使用适合此任务的随机数生成器代替mt_rand()。

当 PHP 7 出现时，当需要加密安全的随机数生成器时，您可以在项目中使用 random_int()。

“好的，太好了，但是 PHP 7 还没有发布。我该怎么办今天？”

嗯，你很幸运，你有两个不错的选择。

使用RandomLib。或

我一直致力于将 PHP 7 的 CSPRNG 函数反向移植到 PHP 5 项目中。它以paragonie/random_compat 存在于Github 上。

“我不想使用库；如何安全地滚动自己的库？”

当涉及到密码学时，滚动您自己的实现通常是一个糟糕的决定。 “不是在这里发明的”通常是一件好事。但是，如果您一心想将自己的 PHP 库编写到 securely generate random integers or strings，请记住以下几点：

1. 使用可靠的随机来源。在order of preference 中，从/dev/urandom 读取应该是您的首选，其次是mcrypt_create_iv() 和MCRYPT_DEV_URANDOM，然后是从CAPICOM 读取（仅限Windows），最后是openssl_random_pseudo_bytes()。
2. 从/dev/urandom 读取时，缓存文件描述符以减少每次函数调用的开销。
3. 从/dev/urandom 读取时，PHP 将始终缓冲 8192 字节的数据（您可能不会使用）。请务必关闭读取缓冲（即stream_set_read_buffer($fileHandle, 0);）。
4. 避免任何可能泄露计时信息的函数或操作。这意味着，通常，您希望使用按位运算符而不是数学函数（例如 log()）或任何涉及浮点数的东西。
5. 不要使用模运算符将随机整数减少到一个范围。这将导致有偏的概率分布：
6. 良好的 CSPRNG 不会退回到不安全的结果。如果没有合适的 CSPRNG 可用，请不要默默地使用 mt_rand()；相反，抛出未捕获的异常或发出致命错误。立即引起开发者的注意。

Answer 2

抱歉，Mersenne Twister 的设计初衷不是为了满足加密要求。不，您不能也不应该尝试修复它，因为通常当非专家尝试改进加密功能时，他们最终只会让事情变得更糟。

PHP 长期以来一直存在用于加密目的的随机性问题。我将指出一些轻读的参考：

• I forgot your password: Randomness attacks against PHP applications
• Cracking PHP's lcg_value()
• phpwn: Attack on PHP sessions and random numbers

据我所知，在 PhP 应用程序中安全（伪）随机数生成的最佳选择是使用 openssl_random_pseudo_bytes。

Answer 3

mt_rand 顾名思义就是 Mersenne Twister，一个不安全的随机数生成器。此外，它通常只是以毫秒为单位的特定时间播种，攻击者可以简单地猜测或瞄准。

您无法确保 Mersenne Twister 的安全。因此，如果可能的话，您应该使用由熵源播种的安全随机数生成器。这个熵源通常是从操作系统获得的。应该首选基于 OpenSSL 的。

您绝对没有理由坚持使用 MT。 PRNG 只是算法。有很多包含安全 PRNG 的库。