我需要在PHP中创建一个可证明公平(确定性和种子(加密安全(CS(随机数生成器。 我们运行的是 PHP 5,而 PHP 7 现在并不是一个真正的选择。 但是,我找到了 PHP 7 的新 CS 函数的填充代码,所以我实现了该解决方案(https://github.com/paragonie/random_compat(。
我以为 srand(( 可以用来播种 random_int((,但现在我不确定是否是这种情况。 CSPRNG甚至可以播种吗? 如果可以播种,输出是否是确定性的(给定相同的种子,相同的随机结果(?
这是我的代码:
require_once($_SERVER['DOCUMENT_ROOT']."/lib/assets/random_compat/lib/random.php");
$seed_a = 8138707157292429635;
$seed_b = 'JuxJ1XLnBKk7gPASR80hJfq5Ey8QWEIc8Bt';
class CSPRNG{
private static $RNGseed = 0;
public function generate_seed_a(){
return random_int(0, PHP_INT_MAX);
}
public function generate_seed_b($length = 35){
$characters = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';
$randomString = '';
for($i = 0; $i < $length; $i++){
$randomString .= $characters[random_int(0, strlen($characters) - 1)];
}
return $randomString;
}
public function seed($s = 0) {
if($s == 0){
$this->RNGseed = $this->generate_seed_a();
}else{
$this->RNGseed = $s;
}
srand($this->RNGseed);
}
public function generate_random_integer($min=0, $max=PHP_INT_MAX, $pad_zeros = true){
if($this->RNGseed == 0){
$this->seed();
}
$rnd_num = random_int($min, $max);
if($pad_zeros == true){
$num_digits = strlen((string)$max);
$format_str = "%0".$num_digits."d";
return sprintf($format_str, $rnd_num);
}else{
return $rnd_num;
}
}
public function drawing_numbers($seed_a, $num_of_balls = 6){
$this->seed($seed_a);
$draw_numbers = array();
for($i = 0; $i < $num_of_balls; $i++) {
$number = ($this->generate_random_integer(1, 49));
if(in_array($number, $draw_numbers)){
$i = $i-1;
}else{
array_push($draw_numbers, $number);
}
}
sort($draw_numbers);
return $draw_numbers;
}
}
$CSPRNG= new CSPRNG();
echo '<p>Seed A: '.$seed_a.'</p>';
echo '<p>Seed B: '.$seed_b.'</p>';
$hash = hash('sha1', $seed_a.$seed_b);
echo '<p>Hash: '.$hash.'</p>';
$drawNumbers = $CSPRNG->drawing_numbers($seed_a);
$draw_str = implode("-", $drawNumbers);
echo "<br>Drawing: $draw_str<br>";
运行此代码时,绘图 ($draw_str( 在每次运行时都应相同,但事实并非如此。
为了证明抽奖是公平的,在选择和显示中奖号码之前,会选择一个种子(种子A(。 还会生成另一个随机数(种子 B(。 种子 B 用作盐并与种子 A 结合使用,结果经过哈希处理。 此哈希在绘制之前向用户显示。 他们还将获得源代码,以便在选择中奖号码时,两个种子都会被显示出来。 他们可以验证哈希是否匹配,并且一切都公平地完成。
Duskwuff问道:
你打算如何证明种子是公平选择的?可疑用户可以很容易地声称您选择了可以为特定用户带来有利结果的种子,或者您提前向特定用户透露了该种子。
在调查解决方案之前,您要解决的问题到底是什么?您的威胁模型是什么?
听起来你想要SeedSpring(0.3.0版本支持PHP 5.6(。
$prng = new 'ParagonIE'SeedSpring'SeedSpring('JuxJ1XLnBKk7gPAS');
$byte = $prng->getBytes(16);
'var_dump(bin2hex($byte));
这应该始终返回:
string(32) "76482c186f7c5d1cb3f895e044e3c649"
这些数字应该是公正的,但由于它基于预共享种子,因此根据严格的定义,它在加密上并不安全。
请记住,SeedSpring 是作为玩具实现/概念验证创建的,而不是官方的 Paragon Initiative 企业开源安全解决方案,因此请随意分叉并调整它以满足您的目的。(我怀疑我们的分支永远不会达到"稳定的 1.0.0 版本"(。
(此外,如果你要接受/奖励这些答案中的任何一个的赏金,Aaron Toponce的答案更正确。使用 ECB 模式加密随机数比使用 AES-CTR 加密一长串 NUL 字节流的性能更高,并且具有大致相同的安全优势。这是欧洲央行模式可以接受的极少数情况之一。
首先,你不应该实现自己的用户空间CSPRNG。您安装了 PHP 5 的操作系统已经附带了一个 CSPRNG,您应该使用它来随机性,除非您知道您可以使用它,或者性能是一个问题。您应该使用 random_int() 、 random_bytes() 或 openssl_random_pseudo_bytes() 。
但是,如果您必须实现用户空间CSPRNG,那么只需使用AES库(例如:libsodium(并加密计数器即可完成。伪代码将是:
Uint-128 n = 0;
while true:
output = AES-ECB(key, n);
n++;
在这种情况下,它们需要足够的熵来抵御复杂的攻击,或者您的用户空间CSPRNG的安全性当然会分崩离析。密钥可以是用户提供的密码的bcrypt()。
假设表示为 128 位无符号整数的计数器始终是唯一的,则每次生成器使用新计数器"播种"时,您将始终获得唯一的输出。如果使用以前使用的计数器但使用不同的键为其设定种子,则输出也将不同。最好的情况是每次调用生成器时更改键和更改计数器。
您可能会想在计数器中使用高精度时间戳,例如使用微秒精度。这很好,除非你冒着某人或某事操纵系统时钟的风险。因此,如果时钟可以纵,那么CSPRNG发生器可能会受到损害。最好在每次调用生成器时提供一个新密钥,并使用 128 位零开始加密。
另外,请注意,我们将 ECB 模式与 AES 一起使用。不要惊慌失措。欧洲央行在维护明文提供的密文结构方面存在问题。一般来说,您不应该使用欧洲央行模式。但是,对于 128 位数据,您将只加密单个 ECB 块,因此不会泄漏结构化数据。对于用户空间CSPRNG,ECB优于CTR,因为您不必跟踪密钥,计数器对象和要加密的数据。只需要一个密钥和数据。只要确保您永远不会加密超过 128 位的数据,并且您永远不需要超过 1 个块。
CSPRNG甚至可以播种吗?
是的,它应该始终播种。如果你看一下你的 GNU/Linux 操作系统,你可能会注意到 /var/lib/urandom/random-seed 中的一个文件。当操作系统关闭时,它会从 CSPRNG 创建该文件。下次启动时,此文件用于为内核空间 CSPRNG 设定种子,以防止重用生成器的先前状态。每次关机时,该文件都应更改。
如果可以播种,输出是否是确定性的(给定相同的种子,相同的随机结果(?
是的。如果相同的种子、密钥等,输出是确定性的,因此输出将是相同的。如果其中一个变量发生更改,则输出将有所不同。这就是为什么在每次调用生成器时都应该重新键入密钥的原因。