使用 RNGCryptoServiceProvider 生成随机字符串答案

【问题标题】：Generating random string using RNGCryptoServiceProvider使用 RNGCryptoServiceProvider 生成随机字符串
【发布时间】：2013-10-18 09:24:53
【问题描述】：

我正在尝试使用一系列可接受的字符生成随机字符串。我有一个有效的实现，包括在下面，但我想知道将随机字节转换为可打印字符的逻辑是否会使我面临任何风险或无意中暴露其他内部状态。我将可用字符的数量保持为可被 256 整除的数字，以帮助防止生成的字符串出现不均匀的偏差。

using System.Security.Cryptography;
class Example {
  static readonly char[] AvailableCharacters = {
    'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 
    'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', 
    'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 
    'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z', 
    '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', '-', '_'
  };

  internal static string GenerateIdentifier(int length) {
    char[] identifier = new char[length];
    byte[] randomData = new byte[length];

    using (RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider()) {
      rng.GetBytes(randomData);
    }

    for (int idx = 0; idx < identifier.Length; idx++) {
      int pos = randomData[idx] % AvailableCharacters.Length;
      identifier[idx] = AvailableCharacters[pos];
    }

    return new string(identifier);
  }
}

以 40 的长度运行上述示例代码 10 次，得到以下输出：

hGuFJjrr6xuuRDaOzJjaltL-ig09NNzbbvm2CyZG
BLcMF-xcKjmFr5fO-yryx8ZUSSRyXcTQcYRp4m1N
ARfPJhjENPxxAxlRaMBK-UFWllx_R4nT0glvQLXS
7r7lUVcCkxG4ddThONWkTJq0IOlHzzkqHeMi4ykU
TMwTRFORVYCLYc8iWFUbfZWG1Uk2IN35IKvGR0zX
hXNADtfnX4sjKdCgmvZUqdaXSFEr_c_mNB3HUcax
-3nvJyou8Lc-a0limUUZYRScENOoCoN9qxHMUs9Y
bQPmVvsEjx0nVyG0nArey931Duu7Pau923lZUnLp
b8DUUu6Rl0VwbH8jVTqkCifRJHCP3o5oie8rFG5J
HuxF8wcvHLpiGXedw8Jum4iacrvbgEWmypV6VTh-

我想我要问的问题是，这段代码使用起来是否相对安全，或者这是一个非常非常糟糕的主意？最终用户永远不会看到此标识符，并且生命周期非常短暂。

附加信息

为了更详细地描述标识符的使用，它的预期用途是用作短期请求的密钥，用于将信息从一个应用程序传递到另一个第三方系统。由于数据必须通过（不受信任的）用户的浏览器，我们将实际的报告信息存储在数据库中，并为目标应用程序生成此标识符，以便能够从数据库中提取和删除该信息。

由于目标信息位于我们无法控制的第三方系统中（开发方面，仍然在本地），并且我们无法直接针对第三方系统对用户进行身份验证，因此此令牌旨在允许识别用户并使用存储在数据库中的信息运行报告。报告本身必须面向公众（在互联网上），无需身份验证（因为我们的大多数用户在第三方系统中没有帐户），并且因为报告处理 HIPAA/FERPA 数据，我们希望尽可能确保即使使用攻击者控制的标识符，我们也可以使他们无法生成有效的请求。

【问题讨论】：

这个问题没有足够的信息来回答。您正在描述一个安全系统，而没有描述它所保护的攻击！不要让我们批评您的锁而不告诉我们门后面是什么以及谁在试图破坏它。
@ts 指导保证唯一性，而不是随机性。第四版 guid 不必是随机加密强度。
@TS: 再说一遍：不能保证 guid 是不可预测的，只能保证它们是唯一的。约书亚需要对不可预测性的强有力保证。
您的字符集非常接近Base64（它使用+ 和/，您使用- 和_），只需Base64 编码字节数组生成的工作也适合你？
如果你没有一个能整除 256 的字符集，你可以看看 stackoverflow.com/questions/54991/generating-random-passwords/… ，它假定取 2^64 mod chars.Length 的偏差导致偏差可以忽略不计。

标签： c# .net random

【解决方案1】：

附加信息很有帮助。我假设您永远不会以明文形式发送令牌，也永远不会将其发送给不受信任的一方。

回答实际提出的问题：是的，您的代码正确生成了一个包含 240 位随机性的 40 个字符的随机字符串。我注意到你当然会消耗 320 位随机性来这样做，但是无论如何，位都很便宜。

据推测，由此生成的令牌数量是 2²⁴⁰ 的一小部分，因此攻击者很难猜出有效令牌。如果令牌的生命周期很短——如果它们只在事务发生时在数据库中，然后在短时间内消失——那就更好了。纵深防御。

请注意，软件 RNG 从其环境中获取信息作为种子熵。如果恶意软件可以在进行生成的机器上运行，那么它可能试图操纵该环境，从而推断出部分熵。但是，如果您在该机器上运行恶意软件，则很有可能您已经遇到了更大的问题。

我还注意到，垃圾收集器不保证那些包含令牌的字符串和数组在内存中的停留时间。同样，如果您的机器上有具有管理员权限的恶意软件启动调试器并询问内存，它可以发现密钥。当然，这假设坏演员已经在密闭舱口的错误一侧，正如 Raymond Chen 所说。 具有管理员权限的恶意软件的内存扫描是您最不必担心的！

【讨论】：

我只是想指出您的两个假设是正确的：用户已通过身份验证，并且标识符是通过安全通道发送的。我还要感谢您帮助充实完整的问题。很容易忘记对开发人员来说显而易见的重要信息！
你好。我是 Randomness 和 RNGCryptoServiceProvider 的新手，所以如果这是一个愚蠢的问题，请原谅我。为什么这段代码会生成一个包含 240 位随机性的字符串？谢谢
@RaduCaprescu：字母表中有64个字符，所以如果我们从字母表中随机选择一个元素，我们必须有6位随机性，因为2到6是64。字符串是40长字符。 6 乘以 40 是 240。