私は私たちのウェブサイトのセキュリティを強化する必要があり、現在ここでガイドを使用しています:http: //crackstation.net/hashing-security.htm、そしてまたここでランダムパスワードの生成:https ://defuse.ca/generated -random-passwords.htm。どちらもmcrypt_create_iv()
ランダムなバイト(またはビット?)を生成する関数を使用していると思いますが、何らかの理由で、CentOS 6でphp-mcryptをインストールするときにエラーが発生します。幸い、最初のリンクにopenssl_random_pseudo_bytes()
は、CSPRNG(およびPHPのドキュメントと他の情報源もその主張を裏付けています)、そしてPHP 5.4の現在のサーバーインストールで利用可能であるため、現時点ではそれを使用するしかありません。これらを念頭に置いて、私は次のことを聞きたいと思います。
セキュリティに影響を与えることなく、直接コード置換で十分ですか?(つまり、to
mcrypt_create_iv()
への呼び出しを置き換えるだけで十分openssl_random_pseudo_bytes()
ですか?)コード(http://crackstation.net/hashing-security.htm#properhashing)で言及されている定数について、ガイドは「[m]ソルトが少なくともハッシュ関数の出力と同じ長さであることを確認してください」と述べています。関数の出力は、使用される基礎となるアルゴリズムが32(256ビットの場合)ではなく24バイトであるため、
PBKDF2_SALT_BYTES
とは両方とも24バイトに設定されていると仮定するのは正しいですか?(はい、私もキーストレッチを使用しています。)関連するメモでは、24バイトで問題ありませんか、それとも増減する必要がありますか。また、どのような影響がありますか?PBKDF2_HASH_BYTES
pbkdf2()
sha256
答えてくれる人たちに感謝します。