【发布时间】:2010-07-11 03:10:04
【问题描述】:
这个问题here 是关于创建身份验证方案的。 AviD 给出的公认答案是
您对加密随机数的使用是 也很重要,许多人倾向于跳过 过度 - 例如“让我们只使用 GUID”...
这引出了我的问题。为什么不直接使用 GUID?
【问题讨论】:
【发布时间】:2010-07-11 03:10:04
【问题描述】:
当您随机生成一个打算用于密码学的随机数时,您应该确实确保该数字是真正随机的。 GUID 往往是根据可以发现、猜测或推断的值生成的,例如当前系统时间或网卡 MAC 地址,因此可能会猜测 nonce。
【讨论】:
Nonce 应该是随机的(或至少是不可猜测的)。 GUID 对它们有很大的非随机性(我不确定 GUID 中有多少位熵)。
【讨论】:
-
对于 GUID 的确切构成及其生成方式的定义各不相同,假设性问题“GUID 中有多少位熵?”几乎一文不值。更糟糕的是,我认为任何定义都没有为随机性的生成设定明确的标准,所以理论上,GUID 中的所有随机性都可能来自于用硬币翻转播种 PRNG。