Predictabilidad de PHPs array_rand

En su lugar, podría construir sus datos basándose en el openssl_random_pseudo_bytes() más seguro de la biblioteca OpenSSL. Obviamente, esto implica una conversión básica para obtener el rango requerido, pero no se basa en una tabla aleatoria sembrada como otras funciones (como rand() ).

Tenga en cuenta que el mt_rand() incorporado de PHP es en realidad mucho mejor que el clásico rand() en términos de eficiencia y aleatoriedad (distribución más normal), pero aún está sembrado.

Ambos métodos, cuando se implementan correctamente, requerirán el mismo esfuerzo para la fuerza bruta. La principal diferencia es que una vez que la fuerza bruta es exitosa, puede ser posible que un atacante encuentre más detalles sobre sus patrones de implementación o encuentre la semilla que, por lo tanto, haga que sea más fácil para el próximo ataque.

En la práctica, los casos en los que realmente hará una diferencia real son extremadamente raros, pero ha habido casos en los que se ha abusado de ellos. El mejor (y único) ejemplo que conozco es en una máquina tragamonedas de casino en Montreal, donde este tipo pasó semanas tratando de encontrar patrones y finalmente lo hizo debido a la semilla.

Bueno, si quieres saber cómo predecir un PRNG, búscalo en Google. Averigüe qué PRNG se usa para array_rand y búsquelo en Google, por ejemplo, "predict mersenne twister" (sin comillas) me da dos enlaces github (en los 3 primeros resultados) a las personas que han logrado escribir un programa para predecir a continuación. Salidas basadas en las anteriores.

Usted pregunta específicamente después de predecir el PRNG cuando no se proporciona la salida en bruto, por ejemplo. cuando se usa para generar caracteres aleatorios (que solo tienen un rango limitado, por ejemplo, 0-26 para letras minúsculas). Esto lo hace mucho más difícil, pero me imagino que aún se hace con algunas conjeturas si no tiene el código fuente (prueba de caja negra).

En una prueba de caja blanca, donde se conoce el código fuente, debería ser bastante trivial. Uno podría necesitar más salidas para recuperar el estado (si se desecha parte de la salida del PRNG), pero debería ser un proceso muy similar.

No estoy seguro de que haya una prueba matemática, como usted pregunta, que demuestre que todos los que no sean CSPRNG deben ser predecibles. Creo que todos son predecibles, excepto los que están hechos (y quizás probados) para tener ciertas propiedades.

array_rand llama a mt_rand internamente . Este es un algoritmo de Twister de Mersenne con un tamaño de estado de 624 números. Esto significa que si obtiene 624 salidas consecutivas de mt_rand , conoce todo el estado y puede predecir todos los números futuros.

Como indica correctamente, es bastante difícil obtener el resultado de mt_rand en casos de la vida real, ya que normalmente está limitado a algún rango. Esto no es necesariamente un problema para el atacante: si la aplicación llama a mt_rand(0, 8) , el atacante solo conoce tres bits del estado, pero también necesita predecir solo tres bits para predecir la salida de algoritmos.

Otro problema práctico con la ruptura de PRNG es que el atacante necesita solicitar tokens del mismo proceso, ya que los diferentes procesos tienen diferentes estados de PRNG. Normalmente, cuando se conecta a un servidor, la solicitud se maneja mediante un proceso aleatorio. Puede hacer hasta 100 solicitudes en una conexión, pero aún así es menos de las 624 solicitudes que necesita para obtener el estado de mt_rand .

En su ejemplo, llama a array_rand 12 veces, por lo que el atacante no obtiene ninguna salida intermedia de mt_rand . Hay demasiadas combinaciones aquí para la fuerza bruta.

Esto podría ser prácticamente seguro, pero sería riesgoso. Una aplicación que examiné también usé mt_rand para la generación de tokens, y Luego tenía otra página que llamaba mt_srand() . Esto hizo posible sembrar el PRNG con un valor conocido. También escribí algo sobre el craqueo de los PRNG de PHP, aunque no se incluye en mt_rand state cracking.