PHPのRand（）の出力を予測する

Randから次の値を推測する機能は、srandが何で呼び出されたかを判別できることに関連しています。特に、srandに所定の数をシードすると、予測可能な出力が得られます！ PHPインタラクティブプロンプトから：

[charles@charles-workstation ~]$ php -a
Interactive Shell

php > srand(1024);
php > echo Rand(1, 100);
97
php > echo Rand(1, 100);
97
php > echo Rand(1, 100);
39
php > echo Rand(1, 100);
77
php > echo Rand(1, 100);
93
php > srand(1024);
php > echo Rand(1, 100);
97
php > echo Rand(1, 100);
97
php > echo Rand(1, 100);
39
php > echo Rand(1, 100);
77
php > echo Rand(1, 100);
93
php > 

これは一部のまぐれだけではありません。ほとんどのPHPバージョン^* ほとんどのプラットフォーム^** 1024でsrand 'dした場合、シーケンス97、97、39、77、93が生成されます。

明確に言うと、これはPHPの問題ではなく、Rand自体の実装の問題です。同じ問題は、Perlを含む同じ（または同様の）実装を使用する他の言語でも発生します。

トリックは、PHPの正常なバージョンには、「不明な」値がsrandに事前にシードされているということです。ああ、それは本当にではありません=不明。ext/standard/php_Rand.hから：

#define GENERATE_SEED() (((long) (time(0) * getpid())) ^ ((long) (1000000.0 * php_combined_lcg(TSRMLS_C))))

したがって、これはtime()、PID、およびphp_combined_lcgで定義されているext/standard/lcg.cの結果を含むいくつかの数学です。私はここでc＆pをするつもりはありません。まあ、目がつやつやして、狩りをやめることにしました。

Googlingのビットは PHPの他の領域には最高のランダムネス生成プロパティがない を示し、php_combined_lcgの呼び出し、特にこの分析のビットはここで際立っています：

この関数（gettimeofday）は、Silver Platter上の正確なサーバータイムスタンプを返すだけでなく、「PHPのuniqidから」「エントロピーの増加」を要求した場合にLCG出力を追加します。

ええ that uniqid 。 php_combined_lcgの値は、2番目の引数をtrue値に設定してuniqidを呼び出した後の結果の16進数字を見るとわかります。

さて、どこにいたの？

そうそう。 srand。

したがって、ランダムな値を予測しようとしているコードがdoes n't call srandの場合、php_combined_lcgによって提供される値を判別する必要があります。 （間接的に？）uniqidの呼び出しを通じて。その値が手元にあれば、残りの値-time()、PID、およびいくつかの計算を総当たりにするのはfeasibleです。リンクされているセキュリティの問題はセッションの中断に関するものですが、同じテクニックがここでも機能します。繰り返しますが、記事から：

上記の攻撃手順の概要は次のとおりです。

• サーバーが再起動するのを待ちます
• uniqid値をフェッチする
• これからRNGシードをブルートフォース
• オンラインステータスをポーリングして、ターゲットが表示されるのを待ちます
• ステータスポーリングをuniqidポーリングとインターリーブして、現在のサーバー時間とRNG値を追跡します。
• ポーリングで確立された時間とRNG値の間隔を使用してサーバーに対してブルートフォースセッションID

必要に応じて、最後のステップを置き換えるだけです。

（このセキュリティの問題は、現在のバージョン（5.3.6）よりも前のPHPバージョン（5.3.2）で報告されているため、uniqidおよび/またはphp_combined_lcgが変更されたため、このspecific技法はもう機能しない可能性があります。YMMV。）

一方、生成しようとしているコード手動でsrandを呼び出すの場合、php_combined_lcgの結果よりも何倍も優れたコードを使用していない限り、おそらく値を推測し、ローカルジェネレータに適切な数をシードするための時間easierが多くなります。手動でsrandを呼び出すほとんどの人も、これがどれほどひどい考えであるかを理解していないため、より良い値を使用する可能性はほとんどありません。

mt_Randも同じ問題に悩まされていることは注目に値します。既知の値でmt_srandをシードすると、予測可能な結果も生成されます。エントロピーをopenssl_random_pseudo_bytesに基づくことは、おそらくより安全な賭けです。

tl; dr：最良の結果を得るには、PHP乱数ジェネレーターをシードしないでください。 、uniqidをユーザーに公開しないでください。これらのいずれかまたは両方を実行すると、乱数が推測されやすくなる場合があります。

PHP 7の更新：

PHP 7.0では、コア関数として random_bytes と random_int が導入されています。基盤となるシステムのCSPRNG実装を使用するため、シードされた乱数ジェネレーターが抱える問題から解放されます。これらは、実際にopenssl_random_pseudo_bytesに似ていますが、拡張機能をインストールする必要がありません。 ポリフィルはPHP5で利用可能 。

*： Suhosinセキュリティパッチ は、Randおよびmt_Randの動作を変更して、すべての呼び出しで常に再シードされるようにします。 Suhosinはサードパーティによって提供されます。一部のLinuxディストリビューションでは、デフォルトで公式のPHPパッケージに含まれていますが、他のディストリビューションではオプションになっているものもあれば、完全に無視しているものもあります。

**：使用されているプラ​​ットフォームと基になるライブラリコールに応じて、ここに記載されているものとは異なるシーケンスが生成されますが、Suhosinパッチを使用しない限り、結果は再現可能です。