क्रिप्टोग्राफिक रूप से सुरक्षित टोकन उत्पन्न करना

Question 1

हमारे द्वारा वर्तमान में उपयोग किए जा रहे हमारे एपीआई तक पहुँच के लिए एक 32 वर्ण का टोकन उत्पन्न करने के लिए:

$token = md5(uniqid(mt_rand(), true));

मैंने पढ़ा है कि यह विधि क्रिप्टोग्राफिक रूप से सुरक्षित नहीं है क्योंकि यह सिस्टम घड़ी पर आधारित है, और यह openssl_random_pseudo_bytesएक बेहतर समाधान होगा क्योंकि यह भविष्यवाणी करना कठिन होगा।

यदि ऐसा है, तो समतुल्य कोड कैसा दिखेगा?

मैं कुछ इस तरह से मानता हूं, लेकिन मुझे नहीं पता कि क्या यह सही है ...

$token = md5(openssl_random_pseudo_bytes(32));

यह भी कि लंबाई क्या समझती है कि मुझे फंक्शन पास करना चाहिए?

Question 2

यहाँ सही समाधान है:

$token = bin2hex(openssl_random_pseudo_bytes(16));

# or in php7
$token = bin2hex(random_bytes(16));

Question 3

यदि आप Opensl_random_pseudo_bytes का उपयोग करना चाहते हैं तो CrytoLib के कार्यान्वयन का उपयोग करना सबसे अच्छा है, यह आपको सभी अल्फ़ान्यूमेरिक वर्ण उत्पन्न करने की अनुमति देगा, खुलता है bin2hex के चारों ओर खुलता हैsl_random_pseudo_bytes आपको केवल AF (कैप्स) और संख्याएँ प्राप्त करेगा।

पाथ / / को बदलें जहाँ आप cryptolib.php फ़ाइल डालते हैं (आप इसे GitHub पर देख सकते हैं: https://github.com/IcyApril/CryptoLib )

<?php
  require_once('path/to/cryptolib.php');
  $token = IcyApril\CryptoLib::randomString(16);
?>

पूरा क्रिप्टोकरंसी प्रलेखन यहाँ उपलब्ध है: https://cryptolib.ju.je/ । यह कई अन्य यादृच्छिक तरीकों, कैस्केडिंग एन्क्रिप्शन और हैश पीढ़ी और सत्यापन को शामिल करता है; लेकिन यह वहां है अगर आपको इसकी आवश्यकता है।

Question 4

यदि आपके पास एक क्रिप्टोग्राफिक रूप से सुरक्षित यादृच्छिक संख्या जनरेटर है, तो आपको इसे आउटपुट करने की आवश्यकता नहीं है। वास्तव में आप नहीं करना चाहते हैं। महज प्रयोग करें

$token  = openssl_random_pseudo_bytes($BYTES,true)

हालांकि $ BYTES डेटा के कई बाइट्स आप चाहते हैं। एमडी 5 में 128 बिट हैश है, इसलिए 16 बाइट करेंगे।

एक साइड नोट के रूप में, आपके मूल कोड में आपके द्वारा कॉल किए जाने वाले कोई भी फ़ंक्शन क्रिप्टोग्राफिक रूप से सुरक्षित नहीं हैं, अधिकांश यह हानिकारक हैं कि केवल एक का उपयोग करना असुरक्षित होगा भले ही सुरक्षित अन्य कार्यों के साथ संयुक्त हो। एमडी 5 में सुरक्षा मुद्दे हैं (हालांकि इस एप्लिकेशन के लिए वे प्रासंगिक नहीं हो सकते हैं)। Uniqid न केवल डिफ़ॉल्ट रूप से क्रिप्टोग्राफिक रूप से यादृच्छिक बाइट्स उत्पन्न नहीं करता है (क्योंकि यह सिस्टम घड़ी का उपयोग करता है), आपके द्वारा पास किए गए अतिरिक्त एन्ट्रापी को एक रैखिक congruent जनरेटर का उपयोग करके जोड़ा जाता है, जो क्रिप्टोग्राफिक रूप से सुरक्षित नहीं है। वास्तव में, इसका मतलब यह है कि कोई आपके सभी एपीआई कुंजी का अनुमान लगा सकता है, भले ही उन्हें आपके सर्वर घड़ी की कीमत का अंदाजा न हो। अंत में, mt_rand (), जो आप अतिरिक्त एंट्रोपी के रूप में उपयोग करते हैं, वह सुरक्षित रैंडम नंबर जनरेटर भी नहीं है।

Question 5

विश्वसनीय पासवर्ड आप केवल एससीआई अक्षर ए-जेडए-जेड और संख्या 0-9 से बना सकते हैं । ऐसा करने के लिए सबसे अच्छा तरीका केवल क्रिप्टोग्राफिक रूप से सुरक्षित तरीकों का उपयोग कर रहा है, जैसे कि random_int () या random_bytes () PHP7 से। बेस 64_encode () के रूप में बाकी कार्य आप स्ट्रिंग की विश्वसनीयता बनाने और इसे ASCII वर्णों में बदलने के लिए समर्थन कार्यों के रूप में उपयोग कर सकते हैं ।

mt_rand () सुरक्षित नहीं है और बहुत पुराना है। किसी भी स्ट्रिंग से आपको random_int () का उपयोग करना होगा। बाइनरी स्ट्रिंग से आपको बाइनरी स्ट्रिंग को विश्वसनीय या Bin2hex बनाने के लिए base64_encode () का उपयोग करना चाहिए , लेकिन तब आप केवल 16 पदों (मूल्यों) पर बाइट काट लेंगे। मेरे इस कार्य का कार्यान्वयन देखें। यह सभी भाषाओं का उपयोग करता है।