登录
首页 >  Golang >  Go问答

如何验证随机性?

来源:stackoverflow

时间:2024-03-06 12:27:27 471浏览 收藏

目前golang学习网上已经有很多关于Golang的文章了,自己在初次阅读这些文章中,也见识到了很多学习思路;那么本文《如何验证随机性?》,也希望能帮助到大家,如果阅读完后真的对你学习Golang有帮助,欢迎动动手指,评论留言并分享~

问题内容

我正在使用 bip39 规范生成 12 个单词的助记符,稍后将用于生成 master public/private 及其 2^32-1 子密钥。这些子密钥随后将用于非对称加密。

import (
   "github.com/tyler-smith/go-bip39"
   "github.com/tyler-smith/go-bip32"
   b64 "encoding/base64"
 )
 type BipKeys struct {
     Entropy []byte
     Mnemonic string
     Passphrase []byte
     Seed []byte
     MnemonicShares []string
     RootPublicExtendedKey *bip32.Key
     RootPrivateExtendedKey *bip32.Key
     RootPrivateHexKey string
}

func(instance *BipKeys) GenerateEntropy(numberOfBytes int)([]byte, error){
   entropy, err := bip39.NewEntropy(numberOfBytes)
   if err != nil {
     log.Printf("There is some error generating entropy %s", err)
}
   return entropy, err
}

func (instance *BipKeys) GenerateMnemonic(entropy []byte) (string, error){
   mnemonic, err := bip39.NewMnemonic(entropy)
   if err != nil {
     log.Printf("Some error in generating Mnemonic %s", err)

 }
    return mnemonic, err
 }

func (instance *BipKeys) GeneratePassphrase(saltBytes int, passphraseBytes int) ([]byte, error){
  salt := GenerateRandomSalt(8)
  passphrase := GenerateRandomString(8)
  password, err := GenerateScryptKey(salt, []byte(passphrase))
  return password, err
}

generaterandomstring和generaterandomsalt只是根据crypto/rand包生成随机字符串和字节。

我的问题是,当人们说未从随机函数正确生成的密钥容易被破坏时,他们实际上是什么意思? 如何检查 bip39.newentropy(numberofbytes) 是否确实生成了助记符所需的完美熵? 有什么方法可以检查是否可以通过暴露前 5 个单词来生成 12 个单词助记词(这意味着熵函数实现不正确并且容易受到攻击)?


解决方案


我的问题是,当人们说密钥未正确生成时 随机函数很容易被破坏,它们实际上是什么 意思是?

密码学中的不良随机性受到两种方式的攻击:

  1. 通过对用于生成比特流的种子进行详尽的搜索。一个突出的例子是 Debian OpenSSH vulnerability

  2. 通过攻击并非旨在满足加密要求的随机数生成器的可预测性。在统计随机数生成器中,主要要求是数据看起来是随机的。在加密随机数生成器中,我们需要更多:给定比特流,知道算法的非常聪明的人无法弄清楚随机数生成器的未来或先前比特是什么。例如,Mersenne Twister虽然内部状态很大,但不满足加密要求。

你关于测量熵的问题是错误的。测量熵将其视为统计随机数生成器,而不是加密随机数生成器。你说:

GenerateRandomString和GenerateRandomSalt只是根据crypto/rand包生成随机字符串和字节。

这就是您需要知道的全部内容 - 您无需担心其他任何事情。如上所述,无论测量多少熵都无法告诉您您的密钥是安全的。相反,您需要成为密码专家才能分析此类算法。对于随机性的消费者来说,您所能做的就是相信它已被精心设计并由密码学专家进行了分析(除了使用其他来源,例如 /dev/urandom)。

终于介绍完啦!小伙伴们,这篇关于《如何验证随机性?》的介绍应该让你收获多多了吧!欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布Golang相关知识,快来关注吧!

声明:本文转载于:stackoverflow 如有侵犯,请联系study_golang@163.com删除
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>