Node.js 随机字节与伪随机字节
在什么情况下(从安全的角度)可以接受使用节点的而不是加密强大的 我假设,Node.js 随机字节与伪随机字节,node.js,security,Node.js,Security,在什么情况下(从安全的角度)可以接受使用节点的而不是加密强大的 我假设,pseudoRandomBytes性能更好,但代价是更可预测(),但文档并没有说它的强度有多低 具体地说,我想知道我是否可以使用伪随机字节来生成CSRF令牌。如果它与其他语言中的标准PRNG实现类似,那么它可能在默认情况下不是种子,或者是由一个简单的值(如时间戳)来种子。无论如何,种子可能很容易猜测。只是澄清一下,两者的性能相同: var crypto = require ("crypto") var speedy = re
pseudoRandomBytes具体地说,我想知道我是否可以使用
伪随机字节var crypto = require ("crypto")
var speedy = require ("speedy");
speedy.run ({
randomBytes: function (cb){
crypto.randomBytes (256, cb);
},
pseudoRandomBytes: function (cb){
crypto.pseudoRandomBytes (256, cb);
}
});
/*
File: t.js
Node v0.10.25
V8 v3.14.5.9
Speedy v0.1.1
Tests: 2
Timeout: 1000ms (1s 0ms)
Samples: 3
Total time per test: ~3000ms (3s 0ms)
Total time: ~6000ms (6s 0ms)
Higher is better (ops/sec)
randomBytes
58,836 ± 0.4%
pseudoRandomBytes
58,533 ± 0.8%
Elapsed time: 6318ms (6s 318ms)
*/
事实证明,使用默认的OpenSSL(它与节点捆绑在一起,但如果您已经构建了自己的,则可以),对于
randomBytesRAND\u bytespseudoRandomBytesRAND\u pseudo\u bytes- 在节点v0.12和更早版本中,
如果熵池尚未使用足够的数据进行播种,则返回错误randomBytes
将始终返回字节,即使熵池未正确播种pseudoRandomBytes - 在节点v4和更高版本中,
在熵池具有足够的数据之前不会返回。这应该只需要几毫秒(除非系统刚刚启动)randomBytes
randomBytespseudoRandomBytes由于使用完全相同的算法生成randrom数据,因此两个调用之间的性能没有差异(尽管是一次性熵池播种).我不知道它到底有多随机,但是
crypto.randomBytescrypto.randomBytescrypto.randomBytescrypto.pseudombytes伪随机crypto.randompseudoRandomBytesrandomBytes/dev/uradomRAND\u bytesRAND\u pseudo\u bytesrandomBytescrypto.randomBytes