randomBytes vs pseudoRandomBytes

In welchen Situationen ist es akzeptabel, die (aus Sicht der Sicherheit) zu verwenden Knoten crypto.pseudoRandomBytes anstelle des kryptographisch starke crypto.randomBytes?

ich gehe davon aus pseudoRandomBytes eine bessere Leistung auf Kosten des seins vorhersehbarer (falsche), aber die docs haben nicht wirklich viel darüber zu sagen, wie weniger stark ist.

Speziell Frage ich mich, ob ich ' m ok mit pseudoRandomBytes zu generieren, die eine CSRF-token.

  • Ich weiß nicht, wie random es wirklich ist, aber ist die Leistung von crypto.randomBytes ein Problem in den ersten Platz?
  • Wenn Sie einen Stapel von CSRF-Token und - crypto.randomBytes zu teuer ist, könnte man vielleicht eine einzelne crypto.randomBytes Betrieb und n crypto.pseudoRandomBytes Operationen. Dann XOR jede der letzteren mit den ersteren und diese zu nutzen. Ich bin kein crypto-Experte, und ich kann nicht bürgen für die Sicherheit einer solchen Methode. Es ist wahrscheinlich besser, als mit allen pseudoRandom aber schlimmer als mit allen crypto.random.
  • Wir alle wissen, die Datenbank ist fast immer ein Engpass. Unter der Annahme, dass pseudoRandomBytes sicher ist, bezweifle ich, Sie würden auch sehen, den Unterschied in der Leistung. Das ist nicht die richtige Richtung für die Optimierung. Zeitverschwendung imho. Verwenden Sie einfach randomBytes.
  • Ich habe Probleme mit crypto.randomBytes in VM-Umgebungen, wo es nicht viel Entropie zur Verfügung, es hängt viel mehr als db
  • Naja, das problem nicht existiert, bis es vorhanden ist (und es ist sehr unwahrscheinlich). Auch ist es viel einfacher und schneller zu kaufen, ein hardware-Zufallszahlen-generator, zum Beispiel Ivy-Bridge-CPU. Wir Leben in der XXI Jahrhunderts, nachdem alle.
InformationsquelleAutor josh3736 | 2013-08-08
  1. 41

    Als es stellt sich heraus, mit der default OpenSSL (das ist gebündelt mit Knoten, aber wenn Sie gebaut haben, Ihre eigenen, ist es möglich,konfigurieren Sie die verschiedenen Motoren), der Algorithmus zum generieren von zufälligen Daten ist bei beiden genau die gleiche randomBytes (RAND_bytes) und pseudoRandomBytes (RAND_pseudo_bytes).

    Der einzige Unterschied zwischen den beiden Anrufe, hängt von der version von Knoten, die Sie verwenden:

    • In Knoten v0.12 und vor randomBytes gibt einen Fehler zurück, wenn der Entropie-pool wurde noch nicht ausgesät mit genug Daten. pseudoRandomBytes immer wieder bytes, auch wenn der Entropie-pool wurde nicht richtig gesetzt.
    • Im Knoten v4 und später randomBytes nicht zurück, bis die Entropie-pool hat genug Daten. Dies dauert nur ein paar Millisekunden (es sei denn, das system hat gerade gestartet).

    Sobald die die Entropie-pool wurde entkernt, mit genug Daten hat, wird es nie "ausgehen," es gibt also absolut keinen wirksamen Unterschied zwischen randomBytes und pseudoRandomBytes einmal den Entropie-pool voll ist.

    Weil die exakt gleiche Algorithmus wird verwendet, um generieren, randrom Daten, es gibt keinen Unterschied in der Leistung zwischen den beiden Gesprächen (one-time-Entropie-pool seeding trotz).

    • Quelle: nodejs.org/api/...
    • Die docs gar nicht erwähnen, werfen auf fehlende Entropie; Sie nur sagen, dass "randomBytes blockiert, bis genügend Entropie. Dies sollte im Normalfall nie länger als ein paar Millisekunden."
    • das änderte sich in v4. Ältere vesions der Knoten hast werfen, wenn nicht genügend Entropie. (" - Knoten werfen Fehler oder aufrufen von callback-mit dem Fehler, wenn es nicht genug angesammelt Entropie zu erzeugen, kryptographisch starke Daten. In anderen Worten, crypto.randomBytes ohne Rückruf wird nicht geblockt, selbst wenn alle Entropie-Quellen sind erschöpft." Antwort aktualisiert.
    InformationsquelleAutor josh3736
  2. 17

    Nur eine Klarstellung, beide haben die gleiche Leistung:

    var crypto = require ("crypto")
var speedy = require ("speedy");

speedy.run ({
    randomBytes: function (cb){
        crypto.randomBytes (256, cb);
    },
    pseudoRandomBytes: function (cb){
        crypto.pseudoRandomBytes (256, cb);
    }
});

/*
File: t.js

Node v0.10.25
V8 v3.14.5.9
Speedy v0.1.1

Tests: 2
Timeout: 1000ms (1s 0ms)
Samples: 3
Total time per test: ~3000ms (3s 0ms)
Total time: ~6000ms (6s 0ms)

Higher is better (ops/sec)

randomBytes
  58,836 ± 0.4%
pseudoRandomBytes
  58,533 ± 0.8%

Elapsed time: 6318ms (6s 318ms)
*/
    InformationsquelleAutor Gabriel Llamas
  3. 0

    Wenn es so etwas wie den standard-PRNG-Implementierungen in anderen Sprachen, ist es wohl entweder nicht gesetzt standardmäßig oder ist es der Setzliste durch einen einfachen Wert, wie ein Zeitstempel. Unabhängig davon, das Saatgut ist möglicherweise sehr leicht guessable.

    • Die Methoden, die ich bin, zu Fragen, OpenSSL ist RAND_bytes, also ich bin mir ziemlich sicher, dass Sie sicher sind.
    • Ich Sprach über den ersten Samen.
    • OpenSSL PRNG ' s ist seeded by OpenSSL selbst mit /dev/urandom.
    • Interne RNG-Motoren, ja, aber ist das immer so? RAND_bytes sicher, aber was macht RAND_pseudo_bytes potenziell unsicher? Da sollten Sie den Aufruf der gleichen byte-Generatoren, würde ich postulieren, dass es der Samen könnten von schlechterer Qualität sein.
    • Ich lese durch die OpenSSL-code und entdeckt den Unterschied. Sie verwenden die gleichen Samen, aber RAND_bytes wird ein Fehler zurückgegeben, wenn der Entropie-pool nicht genügend Daten (in der Erwägung, dass RAND_pseudo_bytes zurück bytes, die basierend auf der niedrigen Entropie Samen). Es ist nicht so, dass das Saatgut ist sehr schwach (also nur ein timestamp), es ist, dass es nicht groß genug sein, um garantiert sicher.
    • Ich war auf der Suche durch Sie zu und stellte fest, dass der Unterschied, aber gab sich zwar noch nicht zufrieden, dass alle die ENGINE's bytes und pseudobytes Taten. Gute Arbeit.

    InformationsquelleAutor B-Con
Schreibe einen Kommentar