【问题标题】:OpenSSL_Random_Psuedo_Bytes: Is it Affected By Heartbleed?OpenSSL_Random_Psuedo_Bytes:受 Heartbleed 影响吗?
【发布时间】:2014-05-30 14:27:01
【问题描述】:

我了解 PHP 内置的随机函数(rand()、mt_rand())不是很安全,所以我开始使用 OpenSSL_Random_Psuedo_Bytes。阅读新闻后,我注意到 HeartBleed 错误,以及它是如何由 OpenSSL 引起的。

在 Heartbleed 周围使用它仍然安全吗?抱歉,这是一个愚蠢的问题。

这是我唯一使用的功能;我没有使用任何其他 OpenSSL 功能。

【问题讨论】:

  • 好吧,理论上,攻击者可以(并且可能)获取 OpenSSL 的内部生成器状态,并使用它来破坏与其他客户端的临时密钥交换。所以你应该修补你的服务器。当您使用它时,请删除 .rnd 文件并让 OpenSSL 从未受污染的种子中播种自己(假设生成器已被入侵)。
  • 这个问题属于 Stack Exchange 网络中的另一个站点。也许是 serverfault.com、crypto.stackexchange.com 或 security.stackexchange.com。

标签: php random openssl heartbleed-bug


【解决方案1】:

如果你有:

  • 已更新至 OpenSSL 的最新修补版本。
  • 已更改您的证书密钥。
  • 已更改所有密码或强制用户更改密码。

那么你应该不再受到心脏出血的影响。

如果您未升级,您仍然容易受到心脏出血,那么无论您使用什么或在互联网上传递什么,都可能被抓住和暴露。

如果这是您使用 OpenSSL 的唯一目的,那么您应该没问题。它所做的只是创建一个加密唯一的字符串,这与 rand() 不同,它可以随着时间的推移创建无限重复。

【讨论】:

  • 我没有安装OpenSSL作为一个包,我只是使用了openssl_random_psuedo_bytes函数。这会受到 Heartbleed 的影响吗?
  • 那么不,它只是用来创建一个密码唯一的字符串。生成的字符串中没有任何内容。
猜你喜欢
  • 2014-05-21
  • 1970-01-01
  • 2014-05-21
  • 2014-05-25
  • 1970-01-01
  • 1970-01-01
  • 2022-01-17
  • 1970-01-01
  • 2022-01-23
相关资源
最近更新 更多