PHP におけるランダム性 あなたは自分が幸運だと思いますか? , PHPランダム感_PHPチュートリアル
- WBOYオリジナル
- 2016-07-12 09:00:13735ブラウズ
PHP のランダム性 あなたは幸運だと思いますか? , PHP の乱数は感じます
この記事では、暗号化のための乱数の生成に関連する問題を分析します。 PHP 5 には、暗号的に強力な乱数を生成する単純なメカニズムが提供されていませんでしたが、PHP 7 では、いくつかの CSPRNG 関数を導入することでこの問題を解決しました。
1.CSPRNGとは
Wikipedia を引用すると、暗号的に安全な擬似乱数生成器 (CSPRNG) は、暗号アルゴリズムに適した擬似乱数を生成する擬似乱数生成器 (PRNG) です。
CSPRNG は主に次の用途に使用できます:
- 鍵生成 (例: 複雑な鍵の生成)
- 新規ユーザー用にランダムなパスワードを生成します
- 暗号化システム
高レベルのセキュリティを達成するための重要な側面は、高品質のランダム性です
2. PHP7 の CSPRNG
PHP 7 では、CSPRNG の実装に使用できる 2 つの新しい関数、random_bytes とrandom_int が導入されました。
random_bytes 関数は文字列を返し、返された結果のバイト数を表す int 入力パラメータを受け入れます。
例:
リーリーrandom_int 関数は、指定された範囲内の int 数値を返します。
例:
リーリー3. バックエンドの動作環境
上記の関数のランダム性は環境によって異なります:
- ウィンドウでは常に CryptGenRandom() が使用されます。
- 他のプラットフォームでは、利用可能な場合は arc4random_buf() が使用されます (BSD シリーズまたは libbsd を備えたシステムで確立されています)
- 上記のいずれにも当てはまらない場合は、Linux システム コール getrandom(2) が使用されます。
- それでも機能しない場合は、/dev/urandom が最後の利用可能なツールとして使用されます
- 上記のどれも機能しない場合、システムはエラーをスローします
4. 簡単なテスト
優れた乱数生成システムは、適切な生成の「品質」を保証します。この品質をチェックするために、通常、一連の統計的テストが実行されます。複雑な統計のトピックを深く掘り下げずに、既知の動作を数値生成プログラムの結果と比較することは、品質評価に役立ちます。
簡単なテストはサイコロゲームです。サイコロを 1 回振って 6 の目が出る確率が 1/6 であると仮定すると、3 つのサイコロを同時に 100 回振ると、結果はおおよそ次のようになります。
0 6 = 57.9 倍
1 6 = 34.7 倍
2 6 秒 = 6.9 倍
3 6 = 0.5 倍
サイコロを 1,000,000 回振るコードは次のとおりです:
PHP7のrandom_intと単純なrand関数を使用すると、次の結果が得られる可能性があります
よりよく比較するために最初に rand と random_int を確認すると、数式を適用して結果をグラフにプロットできます。式は次のとおりです: (php 結果 - 期待される結果)/期待される結果の 0.5 乗。
結果の画像は次のとおりです:
(0に近い値が良い)
3 six のパフォーマンスは良くなく、このテストは実際のアプリケーションには単純すぎるものの、random_int のパフォーマンスが rand よりも優れていることがわかります。
さらに、乱数ジェネレーターの予測不可能性と再現性のある動作により、アプリケーションのセキュリティ レベルが向上します。
PHP5
デフォルトでは、PHP5 は強力な乱数ジェネレーターを提供しません。実際、openssl_random_pseudo_bytes()、mcrypt_create_iv()、または fread() 関数を直接使用して /dev/random または /dev/urandom デバイスを使用するオプションがまだあります。 RandomLib や libsodium のようなパッケージもあります。より優れた乱数ジェネレーターの使用を開始し、同時に PHP7 を使用する準備ができている場合は、Paragon Initiative Enterprises のrandom_compat ライブラリを使用できます。 random_compat ライブラリを使用すると、PHP 5.x プロジェクトでrandom_bytes() とrandom_int() を使用できるようになります
このライブラリは Composer 経由でインストールできます:
リーリー
random_compat ライブラリと PHP7 は異なる順序を使用します:リーリー
パスワードを生成するためのこのライブラリの簡単なアプリケーション:リーリー
概要
暗号的に安全な擬似乱数ジェネレータを常に使用する必要があります。random_compat ライブラリは適切な実装を提供します。この記事で説明したように、ランダム データの信頼できるソースを使用したい場合は、できるだけ早くrandom_intとrandom_bytesを使用することをお勧めします。
上記は PHP のランダム性に関する関連コンテンツです。皆様の学習に役立つことを願っています。
興味があるかもしれない記事:
- 乱数または文字列を生成するためのphpコード
- PHP nのユニークな乱数生成コード
- PHPは動的にランダムに検証コードを生成
- 使い方は非常に簡単 php 画像をアップロード(ランダムな名前、サムネイル、透かし)
- php 配列関数シーケンス shuffle() と array_rand() ランダム関数の使用の概要
- 宝くじプログラムやランダム広告に適した PHP 確率アルゴリズムの例
- php は、array_rand () 関数を使用して 1 つ以上をランダムに選択します配列からの要素
- PHP で乱数を生成する 3 つの方法
- 非繰り返しの乱数を生成する PHP メソッドのまとめ
- PHP で数字と文字の組み合わせをランダムに生成するメソッド