【发布时间】:2014-05-30 14:27:01
【问题描述】:
我了解 PHP 内置的随机函数(rand()、mt_rand())不是很安全,所以我开始使用 OpenSSL_Random_Psuedo_Bytes。阅读新闻后,我注意到 HeartBleed 错误,以及它是如何由 OpenSSL 引起的。
在 Heartbleed 周围使用它仍然安全吗?抱歉,这是一个愚蠢的问题。
这是我唯一使用的功能;我没有使用任何其他 OpenSSL 功能。
【问题讨论】:
-
好吧,理论上,攻击者可以(并且可能)获取 OpenSSL 的内部生成器状态,并使用它来破坏与其他客户端的临时密钥交换。所以你应该修补你的服务器。当您使用它时,请删除
.rnd文件并让 OpenSSL 从未受污染的种子中播种自己(假设生成器已被入侵)。 -
这个问题属于 Stack Exchange 网络中的另一个站点。也许是 serverfault.com、crypto.stackexchange.com 或 security.stackexchange.com。
标签: php random openssl heartbleed-bug