この記事では、暗号化のための乱数の生成に関連する問題を分析します。 PHP 5 には、暗号的に強力な乱数を生成する単純なメカニズムが提供されていませんでしたが、PHP 7 では、いくつかの CSPRNG 関数を導入することでこの問題を解決しました。
1.CSPRNGとは
Wikipedia を引用すると、暗号的に安全な擬似乱数生成器 (CSPRNG) は、暗号アルゴリズムに適した擬似乱数を生成する擬似乱数生成器 (PRNG) です。
CSPRNG は主に次の用途に使用できます:
高レベルのセキュリティを達成するための重要な側面は、高品質のランダム性です
2. PHP7 の CSPRNG
PHP 7 では、CSPRNG の実装に使用できる 2 つの新しい関数、random_bytes とrandom_int が導入されました。
random_bytes 関数は文字列を返し、返された結果のバイト数を表す int 入力パラメータを受け入れます。
例:
リーリーrandom_int 関数は、指定された範囲内の int 数値を返します。
例:
リーリー3. バックエンドの動作環境
上記の関数のランダム性は環境によって異なります:
4. 簡単なテスト
優れた乱数生成システムは、適切な生成の「品質」を保証します。この品質をチェックするために、通常、一連の統計的テストが実行されます。複雑な統計のトピックを深く掘り下げずに、既知の動作を数値生成プログラムの結果と比較することは、品質評価に役立ちます。
簡単なテストはサイコロゲームです。サイコロを 1 回振って 6 の目が出る確率が 1/6 であると仮定すると、3 つのサイコロを同時に 100 回振ると、結果はおおよそ次のようになります。
0 6 = 57.9 倍
1 6 = 34.7 倍
2 6 秒 = 6.9 倍
3 6 = 0.5 倍
サイコロを 1,000,000 回振るコードは次のとおりです:
PHP7のrandom_intと単純なrand関数を使用すると、次の結果が得られる可能性があります
よりよく比較するために最初に rand と random_int を確認すると、数式を適用して結果をグラフにプロットできます。式は次のとおりです: (php 結果 - 期待される結果)/期待される結果の 0.5 乗。
結果の画像は次のとおりです:
(0に近い値が良い)
3 six のパフォーマンスは良くなく、このテストは実際のアプリケーションには単純すぎるものの、random_int のパフォーマンスが rand よりも優れていることがわかります。
さらに、乱数ジェネレーターの予測不可能性と再現性のある動作により、アプリケーションのセキュリティ レベルが向上します。
PHP5
デフォルトでは、PHP5 は強力な乱数ジェネレーターを提供しません。実際、openssl_random_pseudo_bytes()、mcrypt_create_iv()、または fread() 関数を直接使用して /dev/random または /dev/urandom デバイスを使用するオプションがまだあります。 RandomLib や libsodium のようなパッケージもあります。より優れた乱数ジェネレーターの使用を開始し、同時に PHP7 を使用する準備ができている場合は、Paragon Initiative Enterprises のrandom_compat ライブラリを使用できます。 random_compat ライブラリを使用すると、PHP 5.x プロジェクトでrandom_bytes() とrandom_int() を使用できるようになります
このライブラリは Composer 経由でインストールできます:
リーリー
random_compat ライブラリと PHP7 は異なる順序を使用します:リーリー
パスワードを生成するためのこのライブラリの簡単なアプリケーション:リーリー
概要
暗号的に安全な擬似乱数ジェネレータを常に使用する必要があります。random_compat ライブラリは適切な実装を提供します。この記事で説明したように、ランダム データの信頼できるソースを使用したい場合は、できるだけ早くrandom_intとrandom_bytesを使用することをお勧めします。
上記は PHP のランダム性に関する関連コンテンツです。皆様の学習に役立つことを願っています。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
