随机数密码学

㈠ Hello，密码学：第三部分，公钥密码（非对称密码）算法

在 《Hello，密码学：第二部分，对称密码算法》 中讲述了对称密码的概念，以及DES和AES两种经典的对称密码算法原理。既然有对称密码的说法，自然也就有非对称密码，也叫做公钥密码算法。 对称密码和非对称密码两种算法的本质区别在于，加密密钥和解密密钥是否相同 ：

公钥密码产生的初衷就是为了解决 密钥配送 的问题。

Alice 给远方的 Bob 写了一封情意慢慢的信，并使用强悍的 AES-256 进行了加密，但她很快就意识到，光加密内容不行，必须要想一个安全的方法将加密密钥告诉 Bob，如果将密钥也通过网络发送，很可能被技术高手+偷窥癖的 Eve 窃听到。

既要发送密钥，又不能发送密钥，这就是对称密码算法下的“密钥配送问题” 。

解决密钥配送问题可能有这样几种方法：

这种方法比较高效，但有局限性：

与方法一不同，密钥不再由通信个体来保存，而由密钥分配中心（KDC）负责统一的管理和分配。 双方需要加密通信时，由 KDC 生成一个用于本次通信的通信密钥交由双方，通信双方只要与 KDC 事先共享密钥即可 。这样就大大减少密钥的存储和管理问题。

因此，KDC 涉及两类密钥：

领略下 KDC 的过程：

KDC 通过中心化的手段，确实能够有效的解决方法一的密钥管理和分配问题，安全性也还不错。但也存在两个显著的问题：

使用公钥密码，加密密钥和解密密钥不同，只要拥有加密密钥，所有人都能进行加密，但只有拥有解密密钥的人才能进行解密。于是就出现了这个过程：

密钥配送的问题天然被解决了。当然，解密密钥丢失而导致信息泄密，这不属于密钥配送的问题。

下面，再详细看下这个过程。

公钥密码流程的核心，可以用如下四句话来概述：

既然加密密钥是公开的，因此也叫做 “公钥（Public Key）” 。
既然解密密钥是私有的，因此也叫做 “私钥（Private Key） 。

公钥和私钥是一一对应的，称为 “密钥对” ，他们好比相互纠缠的量子对， 彼此之间通过严密的数学计算关系进行关联 ，不能分别单独生成。

在公钥密码体系下，再看看 Alice 如何同 Bob 进行通信。

在公钥密码体系下，通信过程是由 Bob 开始启动的：

过程看起来非常简单，但为什么即使公钥被窃取也没有关系？这就涉及了上文提到的严密的数学计算关系了。如果上一篇文章对称密钥的 DES 和 AES 算法进行概述，下面一节也会对公钥体系的数学原理进行简要说明。

自从 Diffie 和 Hellman 在1976年提出公钥密码的设计思想后，1978年，Ron Rivest、Adi Shamir 和 Reonard Adleman 共同发表了一种公钥密码算法，就是大名鼎鼎的 RSA，这也是当今公钥密码算法事实上的标准。其实，公钥密码算法还包括ElGamal、Rabin、椭圆曲线等多种算法，这一节主要讲述 RSA 算法的基本数学原理。

一堆符号，解释下，E 代表 Encryption，D 代表 Decryption，N 代表 Number。

从公式种能够看出来，RSA的加解密数学公式非常简单（即非常美妙）。 RSA 最复杂的并非加解密运算，而是如何生成密钥对 ，这和对称密钥算法是不太一样的。 而所谓的严密的数学计算关系，就是指 E 和 D 不是随便选择的 。

密钥对的生成，是 RSA 最核心的问题，RSA 的美妙与奥秘也藏在这里面。

1. 求N

求 N 公式：N = p × q

其中， p 和 q 是两个质数 ，而且应该是很大又不是极大的质数。如果太小的话，密码就容易被破解；如果极大的话，计算时间就会很长。比如 512 比特的长度（155 位的十进制数字）就比较合适。

这样的质数是如何找出来的呢？ 需要通过 “伪随机数生成器（PRNG）” 进行生成，然后再判断其是否为质数 。如果不是，就需要重新生成，重新判断。

2. 求L

求 L 公式：L = lcm(p-1, q-1)

lcm 代表 “最小公倍数（least common multiple）” 。注意，L 在加解密时都不需要， 仅出现在生成密钥对的过程中 。

3. 求E

E 要满足两个条件：
1）1 < E < L
2）gcd(E,L) = 1

gcd 代表 “最大公约数（greatest common divisor）” 。gcd(E,L) = 1 就代表 “E 和 L 的最大公约数为1，也就是说， E 和 L 互质 ”。

L 在第二步已经计算出来，而为了找到满足条件的 E， 第二次用到 “伪随机数生成器（PRNG）” ，在 1 和 L 之间生成 E 的候选，判断其是否满足 “gcd(E,L) = 1” 的条件。

经过前三步，已经能够得到密钥对种的 “公钥：{E, N}” 了。

4. 求D

D 要满足两个条件：
1）1 < D < L
2）E × D mod L = 1

只要 D 满足上面的两个条件，使用 {E, N} 进行加密的报文，就能够使用 {D, N} 进行解密。

至此，N、L、E、D 都已经计算出来，再整理一下

模拟实践的过程包括两部分，第一部分是生成密钥对，第二部分是对数据进行加解密。为了方便计算，都使用了较小的数字。

第一部分：生成密钥对

1. 求N
准备两个质数，p = 5，q = 7，N = 5 × 7 = 35

2. 求L
L = lcm(p-1, q-1) = lcm (4, 6) = 12

3. 求E
gcd(E, L) = 1，即 E 和 L 互质，而且 1 < E < L，满足条件的 E 有多个备选：5、7、11，选择最小的 5 即可。于是，公钥 = {E, N} = {5, 35}

4. 求D
E × D mod L = 1，即 5 × D mod 12 = 1，满足条件的 D 也有多个备选：5、17、41，选择 17 作为 D（如果选择 5 恰好公私钥一致了，这样不太直观），于是，私钥 = {D, N} = {17, 35}

至此，我们得到了公私钥对：

第二部分：模拟加解密

明文我们也使用一个比较小的数字 -- 4，利用 RSA 的加密公式：

密文 = 明文 ^ E mod N = 4 ^ 5 mod 35 = 9
明文 = 密文 ^ D mod N = 9 ^ 17 mod 35 = 4

从这个模拟的小例子能够看出，即使我们用了很小的数字，计算的中间结果也是超级大。如果再加上伪随机数生成器生成一个数字，判断其是否为质数等，这个过程想想脑仁儿就疼。还好，现代芯片技术，让计算机有了足够的运算速度。然而，相对于普通的逻辑运算，这类数学运算仍然是相当缓慢的。这也是一些非对称密码卡/套件中，很关键的性能规格就是密钥对的生成速度

公钥密码体系中，用公钥加密，用私钥解密，公钥公开，私钥隐藏。因此：

加密公式为：密文 = 明文 ^ E mod N

破译的过程就是对该公式进行逆运算。由于除了对明文进行幂次运算外， 还加上了“模运算” ，因此在数学上， 该逆运算就不再是简单的对数问题，而是求离散对数问题，目前已经在数学领域达成共识，尚未发现求离散对数的高效算法 。

暴力破解的本质就是逐个尝试。当前主流的 RSA 算法中，使用的 p 和 q 都是 1024 位以上，这样 N 的长度就是 2048 位以上。而 E 和 D 的长度和 N 差不多，因此要找出 D，就需要进行 2048 位以上的暴力破解。即使上文那个简单的例子，算出（ 蒙出 ） “9 ^ D mod 35 = 4” 中的 D 也要好久吧。

因为 E 和 N 是已知的，而 D 和 E 在数学上又紧密相关（通过中间数 L），能否通过一种反向的算法来求解 D 呢？

从这个地方能够看出，p 和 q 是极为关键的，这两个数字不泄密，几乎无法通过公式反向计算出 D。也就是说， 对于 RSA 算法，质数 p 和 q 绝不能被黑客获取，否则等价于交出私钥 。

既然不能靠抢，N = p × q，N是已知的，能不能通过 “质因数分解” 来推导 p 和 q 呢？或者说， 一旦找到一种高效的 “质因数分解” 算法，就能够破解 RSA 算法了 。

幸运的是，这和上述的“离散对数求解”一样，当下在数学上还没有找到这种算法，当然，也无法证明“质因数分解”是否真的是一个困难问题 。因此只能靠硬算，只是当前的算力无法在可现实的时间内完成。 这也是很多人都提到过的，“量子时代来临，当前的加密体系就会崩溃”，从算力的角度看，或许如此吧 。

既不能抢，也不能算，能不能猜呢？也就是通过 “推测 p 和 q 进行破解” 。

p 和 q 是通过 PRNG（伪随机数生成器）生成的，于是，又一个关键因素，就是采用的 伪随机数生成器算法要足够随机 。

随机数对于密码学极为重要，后面会专门写一篇笔记 。

前三种攻击方式，都是基于 “硬碰硬” 的思路，而 “中间人攻击” 则换了一种迂回的思路，不去尝试破解密码算法，而是欺骗通信双方，从而获取明文。具体来说，就是： 主动攻击者 Mallory 混入发送者和接收者之间，面对发送者伪装成接收者，面对接收者伪装成发送者。

这个过程可以重复多次。需要注意的是，中间人攻击方式不仅能够针对 RSA，还可以针对任何公钥密码。能够看到，整个过程中，公钥密码并没有被破译，密码体系也在正常运转，但机密性却出现了问题，即 Alice 和 Bob 之间失去了机密性，却在 Alice 和 Mallory 以及 Mallory 和 Bob 之间保持了机密性。即使公钥密码强度再强大 N 倍也无济于事。也就是说，仅仅依靠密码算法本身，无法防御中间人攻击 。

而能够抵御中间人攻击的，就需要用到密码工具箱的另一种武器 -- 认证 。在下面一篇笔记中，就将涉及这个话题。

好了，以上就是公钥密码的基本知识了。

公钥密码体系能够完美的解决对称密码体系中 “密钥配送” 这个关键问题，但是抛开 “中间人攻击” 问题不谈，公钥密码自己也有个严重的问题：

公钥密码处理速度远远低于对称密码。不仅体现在密钥对的生成上，也体现在加解密运算处理上。

因此，在实际应用场景下，往往会将对称密码和公钥密码的优势相结合，构建一个 “混合密码体系” 。简单来说： 首先用相对高效的对称密码对消息进行加密，保证消息的机密性；然后用公钥密码加密对称密码的密钥，保证密钥的机密性。

下面是混合密码体系的加解密流程图。整个体系分为左右两个部分：左半部分加密会话密钥的过程，右半部分是加密原始消息的过程。原始消息一般较长，使用对称密码算法会比较高效；会话密钥一般比较短（十几个到几十个字节），即使公钥密码算法运算效率较低，对会话密钥的加解密处理也不会非常耗时。

著名的密码软件 PGP、SSL/TLS、视频监控公共联网安全建设规范（GB35114） 等应用，都运用了混合密码系统。

好了，以上就是公钥密码算法的全部内容了，拖更了很久，以后还要更加勤奋一些。

为了避免被傻啦吧唧的审核机器人处理，后面就不再附漂亮姑娘的照片（也是为了你们的健康），改成我的摄影作品，希望不要对收视率产生影响，虽然很多小伙儿就是冲着姑娘来的。

就从喀纳斯之旅开始吧。

㈡ OpenSSL之随机数用法

随机数是一种无规律的数，但是真正做到完全无规律也较困难，所以一般将它称之为伪随机数。随机数在密码学用的很多，比如SSL握手中的客户端hello和服务端hello消息中都有随机数；SSL握手中的预主密钥是随机数；RSA密钥生成也用到随机数。如果随机数有问题，会带来很大的安全隐患。软件生成随机数一般预先设置随机数种子，再生成随机数。设置随机数种子可以说是对生成随机数过程的一种扰乱，让产生的随机数更加无规律可循。生成随机数有多种方法，可以是某种算法也可以根据某种或多种随机事件来生成。比如，鼠标的位置、系统的当前时间、本进程/线程相关信息以及机器噪声等。安全性高的应用一般都采用硬件方式(随机数发生器)来生成随机数。

本文假设你已经安装好了OpenSSL，并且持有一份1.1.1的源码。
随机数相关的头文件为rand.h、源文件在crypto/rand目录中。

这个结构定义了涉及随机数生成的抽象方法集合。主要字段含义：
seed —— 随机数种子函数。
bytes —— 随机数生成函数。
cleanup —— 状态清除函数。
add —— 随机数种子添加函数。
pseudorand —— 可重现的随机数函数。
status —— 状态查询函数。

在1.1.1中，大多数的数据结构已经不再向使用者开放，从封装的角度来看，这是更合理的。如果你在头文件中找不到结构定义，不妨去源码中搜一搜。

int RAND_set_rand_method(const RAND_METHOD *meth);
设置自定义的随机数抽象方法。
成功返回1，失败返回0。

const RAND_METHOD *RAND_get_rand_method(void);
获取当前的随机数抽象方法集合。
成功返回有效指针，失败返回NULL。
在我们未调用RAND_set_rand_method()的情况下，该函数返回默认的抽象方法集合。

RAND_METHOD *RAND_OpenSSL(void);
这个函数返回OpenSSL内置的随机数，通常为RAND_DRBG随机数。

void RAND_seed(const void *buf, int num);
种子函数，为了让openssl内部维护的随机数据更加无序，可使用本函数。buf为用户输入的随机数地址，num为其字节数。Openssl将用户提供的buf中的随机内容与其内部随机数据进行摘要计算，更新其内部随机数据。

void RAND_add(const void *buf, int num, double randomness);
与seed类似，也是为了让openssl内部随机数据更加无序，其中entropy(信息熵)可以看作用户本次加入的随机数的个数。从内部实现来看，RAND_seed()相当于调用RAND_add(buf, num, num)，此时传递的entropy(信息熵)和缓冲区长度是一样的。至于num和randomness这两个参数如何设置，建议randomness不要超过num的长度，最好是两者相同，或者直接调用RAND_seed()，尽量避免RAND_add()的调用。

int RAND_bytes(unsigned char *buf, int num);
生成随机数，openssl根据内部维护的随机数状态来生成结果。buf用于存放生成的随机数。num为输入参数，用来指明生成随机数的字节长度。
成功返回1，失败返回0。

int RAND_status(void);
查看熵值是否达到预定值，如果达到则返回1，否则返回0。
在openssl实现的md_rand中该函数会调用RAND_poll函数来使熵值合格。如果本函数返回0，则说明此时用户不应生成随机数，需要调用seed和add函数来添加熵值。
从1.1.1版本的使用情况来看，不需要调用RAND_seed()，RAND_status()总是返回成功的，但是建议使用者从安全考虑，虽然不需要理会RAND_status()，请在调用RAND_bytes()之前，总是使用RAND_seed()先初使化随机种子。

const char *RAND_file_name(char *file, size_t num);
指定file缓冲区和num长度，生成随机的文件路径，如果num设置太小不足以容纳完整路径，则返回NULL，建议file缓冲区通常指定256字节。

int RAND_load_file(const char *file, long max_bytes);
将file指定的随机数文件中的数据读取bytes字节(如果bytes大于1024，则读取1024字节)，内部调用RAND_add进行计算，生成内部随机数。
成功返回加载的字节数（0表示文件为空)，失败返回-1。

int RAND_write_file(const char *file);
生成一个随机数文件，返回生成的内容大小，通常为1024字节。

这个例子演示了随机数的相关API操作。

输出：
before RAND_seed() RAND_status() ret:[1]
RAND_status() ret:[1]
RAND_bytes() ret:[1]

p:[0x7ffd028a9070 - /home/test/.rnd] sFile:[0x7ffd028a9070 - /home/test/.rnd]
byteswrite:[1024]
bytesread:[512]

㈢ 什么是随机数及随机数种子，能不能详细通俗介绍一下

随机数在科学研究与工程实际中有着极其重要的应用！
简单来说，随机数就是一个数列，这个数列可能满足一定的概率分布，也许其满足的分布并不为我们所知。
不知道你是否知道一个经典的例子：“使用一根针和两条线求圆周率”（如果不知到你可以搜一下）。这个实验我们可以使用数学模拟（蒙特卡罗模拟）的方法来进行，这样可以最大限度的节约实验所消耗的时间（使用计算机），也在一定程度上剔除了人为因素的影响。但有一个前提必须考虑，就是模拟的随机性要好。怎样体现呢，这时就需要使用“好”的随机数来替代我们的物理实验。
据我所知，随机数在科学预测上有着非常重要的应用！还有密码学中，随机数也是基础之一。
数学方法产生随机数应该称之为“伪随机数”，只有使用物理方法才能得到真正的随机数！
为了得到数学上的伪随机数，我们就要研究“为随机数发生器”！
通常，0-1区间上的均匀随机数是基础的基础，因此，大量的工作是围绕它展开的！在此基础之上，又可以得到符合正态分布，beta分布等的伪随机数。
“种子”是什么呢？
经典的伪随机数发生器是这样的：
X（n+1）=
a
*
X(n)
+
b
显然通过上式我们能够得到一个数列，前提是X(0)应该给出，依次我们就可以算出X(1),X(2)...；当然不同的X(0)就会得到不同的数列。
可以说：“X(0)”就是种子。
对于一个应用级的伪随机数发生器，所有的“伪随机数”，均匀的分布于一个“轨道”上，几乎所有的数都可以做为种子。数字“0”，有时是一个特例，不能作为种子，当然它取决于你使用的随机数发生器！
呵呵，楼上说的言简意赅，但那个函数并不复杂，你可以搜一下“素数模伪随机数发生器”
X（n+1）=
a
*
X(n),
只不过这个a的确定不是太简单，要求随机性好（期望0.5，标准差1/12）；周期长！
当然还有更好的发生器，周期可达2^6xxxx
-
1（具体的忘了）！

㈣ 什么是随机数及随机数种子，能不能详细通俗介绍一下

随机数就是就随机数种子中取出的数。种子就是个序号，这个序号交给一个数列管理器，通过这个序号，你从管理器中取出一个数列，这个数列就是你通过那个序号得到的随机数。

但这个随技术并不真正随机。因为它是通过某个算法的得到。也就是说你给数列管理器同一个序号将得到同样一个“随机”数列。

也就是说种子和随机数列是一一对应的。{An}=f(x), x 就是种子，F()是算法，{An}是数列，这个数列看上去是随机的，这是因为An的通项很复杂。

例如：

从1、2、3、4、5、6、7、8、9、0这十个数中随机取出一个数，取出的数是6的话，那么6就叫随机数。十个数字就叫随机数种子。

如果是从1到50之间取数字，取出的数字叫随机数，这1到50那50个数字就叫随机数种子。

(4)随机数密码学扩展阅读：

根据密码学原理，随机数的随机性检验可以分为三个标准：

统计学伪随机性。统计学伪随机性指的是在给定的随机比特流样本中，1的数量大致等于0的数量，同理，“10”“01”“00”“11”四者数量大致相等。类似的标准被称为统计学随机性。满足这类要求的数字在人类“一眼看上去”是随机的。

密码学安全伪随机性。其定义为，给定随机样本的一部分和随机算法，不能有效的演算出随机样本的剩余部分。

真随机性。其定义为随机样本不可重现。实际上只要给定边界条件，真随机数并不存在，可是如果产生一个真随机数样本的边界条件十分复杂且难以捕捉（比如计算机当地的本底辐射波动值），可以认为用这个方法演算出来了真随机数。

相应的，随机数也分为三类：

伪随机数：满足第一个条件的随机数。

密码学安全的伪随机数：同时满足前两个条件的随机数。可以通过密码学安全伪随机数生成器计算得出。

真随机数：同时满足三个条件的随机数。

㈤ 一到五随机数是什么

一到五随机数是1和4。

产生随机数有多种不同的方法。随机数最重要的特性是：它所产生的后面的那个数与前面的那个数毫无关系。一到五随机数是1和4。

用法：

随机数在密码学中非常重要，保密通信中大量运用的会话密钥的生成即需要真随机数的参与。如果一个随机数生成算法是有缺陷的，那么会话密钥可以直接被推算出来。若果真发生这种事故，那么任何加密算法都失去了意义。

密码学中大量利用伪随机数生成器的应用还有流密码。流密码的著名例子是RC4。流密码的原理是利用一个密码学安全的伪随机数生成器根据密钥产生一串密码学安全的伪随机比特列，再将消息与上述随机比特列按位异或运算。

㈥ 密码那些事

之前在工作中经常用密钥，但是不知道其中的原因，现在闲下来就来看下，再看的过程发现这个随机数概念很模糊，于是就查了下，现总结如下：

0x01 随机数

概述

随机数在计算机应用中使用的比较广泛，最为熟知的便是在密码学中的应用。本文主要是讲解随机数使用导致的一些Web安全风。

我们先简单了解一下随机数

分类

随机数分为真随机数和伪随机数，我们程序使用的基本都是伪随机数，其中伪随机又分为强伪随机数和弱伪随机数。

真随机数，通过物理实验得出，比如掷钱币、骰子、转轮、使用电子元件的噪音、核裂变等

伪随机数，通过一定算法和种子得出。软件实现的是伪随机数

强伪随机数，难以预测的随机数

弱伪随机数，易于预测的随机数

特性

随机数有3个特性，具体如下：

随机性：不存在统计学偏差，是完全杂乱的数列

不可预测性：不能从过去的数列推测出下一个出现的数

不可重现性：除非将数列本身保存下来，否则不能重现相同的数列

随机数的特性和随机数的分类有一定的关系，比如，弱伪随机数只需要满足随机性即可，而强位随机数需要满足随机性和不可预测性，真随机数则需要同时满足3个特性。

引发安全问题的关键点在于不可预测性。

伪随机数的生成

我们平常软件和应用实现的都是伪随机数，所以本文的重点也就是伪随机数。

伪随机数的生成实现一般是算法+种子。

具体的伪随机数生成器PRNG一般有：

线性同余法

单向散列函数法

密码法

ANSI X9.17

比较常用的一般是线性同余法，比如我们熟知的C语言的rand库和java的java.util.Random类，都采用了线性同余法生成随机数。

应用场景

随机数的应用场景比较广泛，以下是随机数常见的应用场景：

验证码生成

抽奖活动

UUID生成

SessionID生成

Token生成

CSRF Token

找回密码Token

游 戏 (随机元素的生成)

洗牌

俄罗斯方块出现特定形状的序列

游戏爆装备

密码应用场景

生成密钥：对称密码，消息认证

生成密钥对：公钥密码，数字签名

生成IV： 用于分组密码的CBC，CFB和OFB模式

生成nonce: 用于防御重放攻击; 分组密码的CTR模式

生成盐：用于基于口令的密码PBE等

0x02 随机数的安全性

相比其他密码技术，随机数很少受到关注，但随机数在密码技术和计算机应用中是非常重要的，不正确的使用随机数会导致一系列的安全问题。

随机数的安全风险

随机数导致的安全问题一般有两种

应该使用随机数，开发者并没有使用随机数;

应该使用强伪随机数，开发者使用了弱伪随机数。

第一种情况，简单来讲，就是我们需要一个随机数，但是开发者没有使用随机数，而是指定了一个常量。当然，很多人会义愤填膺的说，sb才会不用随机数。但是，请不要忽略我朝还是有很多的。主要有两个场景：

开发者缺乏基础常识不知道要用随机数;

一些应用场景和框架，接口文档不完善或者开发者没有仔细阅读等原因。

比如找回密码的token，需要一个伪随机数，很多业务直接根据用户名生成token;

比如OAuth2.0中需要第三方传递一个state参数作为CSRF Token防止CSRF攻击，很多开发者根本不使用这个参数，或者是传入一个固定的值。由于认证方无法对这个值进行业务层面有效性的校验，导致了 OAuth 的CSRF攻击。

第二种情况，主要区别就在于伪随机数的强弱了，大部分(所有?)语言的API文档中的基础库(常用库)中的random库都是弱伪随机，很多开发自然就直接使用。但是，最重要也最致命的是，弱伪随机数是不能用于密码技术的。

还是第一种情况中的找回密码场景，关于token的生成， 很多开发使用了时间戳作为随机数(md5(时间戳)，md5(时间戳+用户名))，但是由于时间戳是可以预测的，很容易就被猜解。不可预测性是区分弱伪随机数和强伪随机数的关键指标。

当然，除了以上两种情况，还有一些比较特别的情况，通常情况下比较少见，但是也不排除：

种子的泄露，算法很多时候是公开的，如果种子泄露了，相当于随机数已经泄露了;

随机数池不足。这个严格来说也属于弱伪随机数，因为随机数池不足其实也导致了随机数是可预测的，攻击者可以直接暴力破解。

漏洞实例

wooyun上有很多漏洞，还蛮有意思的，都是和随机数有关的。

1.应该使用随机数而未使用随机数

Oauth2.0的这个问题特别经典，除了wooyun实例列出来的，其实很多厂商都有这个问题。

Oauth2.0中state参数要求第三方应用的开发者传入一个CSRF Token(随机数)，如果没有传入或者传入的不是随机数，会导致CSRF登陆任意帐号：

唯品会账号相关漏洞可通过csrf登录任意账号

人人网 - 网络 OAuth 2.0 redirect_uir CSRF 漏洞

2.使用弱伪随机数

1) 密码取回

很多密码找回的场景，会发 送给 用户邮件一个url，中间包含一个token，这个token如果猜测，那么就可以找回其他用户的密码。

1. Shopex  4.8.5密码取回处新生成密码可预测漏洞

直接使用了时间函数microtime()作为随机数，然后获取MD5的前6位。

1. substr(md5(print_r(microtime(),true)),0,6);

PHP 中microtime()的值除了当前 服务器 的秒数外，还有微秒数，微妙数的变化范围在0.000000 -- 0.999999 之间，一般来说，服务器的时间可以通过HTTP返回头的DATE字段来获取，因此我们只需要遍历这1000000可能值即可。但我们要使用暴力破解的方式发起1000000次请求的话，网络请求数也会非常之大。可是shopex非常贴心的在生成密码前再次将microtime() 输出了一次：

1. $messenger = &$this->system->loadModel('system/messenger');echo microtime()."

";

2.奇虎360任意用户密码修改

直接是MD5( unix 时间戳)

3.涂鸦王国弱随机数导致任意用户劫持漏洞，附测试POC

关于找回密码随机数的问题强烈建议大家参考拓哥的11年的文章《利用系统时间可预测破解java随机数| 空虚浪子心的灵魂》

2) 其他随机数验证场景

CmsEasy最新版暴力注入(加解密缺陷/绕过防注入)

弱伪随机数被绕过

Espcms v5.6 暴力注入

Espcms中一处SQL注入漏洞的利用，利用时发现espcms对传值有加密并且随机key,但是这是一个随机数池固定的弱伪随机数，可以被攻击者遍历绕过

Destoon B2B  2014-05-21最新版绕过全局防御暴力注入(官方Demo可重现)

使用了microtime()作为随机数，可以被预测暴力破解

Android  4.4之前版本的Java加密架构(JCA)中使用的Apache Harmony 6.0M3及其之前版本的SecureRandom实现存在安全漏洞，具体位于classlib/moles/security/src/main/java/common/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java

类的engineNextBytes函数里，当用户没有提供用于产生随机数的种子时，程序不能正确调整偏移量，导致PRNG生成随机序列的过程可被预测。

Android SecureRandom漏洞详解

安全建议

上面讲的随机数基础和漏洞实例更偏重是给攻击者一些思路，这里更多的是一些防御和预防的建议。

业务场景需要使用随机数，一定要使用随机数，比如Token的生成;

随机数要足够长，避免暴力破解;

保证不同用处的随机数使用不同的种子

对安全性要求高的随机数(如密码技术相关)禁止使用的弱伪随机数：

不要使用时间函数作为随机数(很多程序员喜欢用时间戳) Java：system.currenttimemillis() php：microtime()

不要使用弱伪随机数生成器 Java: java.util.Random PHP: rand() 范围很小，32767 PHP: mt_rand() 存在缺陷

强伪随机数CSPRNG(安全可靠的伪随机数生成器(Cryptographically Secure  Pseudo-Random Number Generator)的各种参考

6.强伪随机数生成(不建议开发自己实现)

产生高强度的随机数，有两个重要的因素：种子和算法。算法是可以有很多的，通常如何选择种子是非常关键的因素。 如Random，它的种子是System.currentTimeMillis()，所以它的随机数都是可预测的， 是弱伪随机数。

强伪随机数的生成思路：收集计算机的各种，键盘输入时间，内存使用状态，硬盘空闲空间，IO延时，进程数量，线程数量等信息，CPU时钟，来得到一个近似随机的种子，主要是达到不可预测性。

暂时先写到这里

㈦ 你好，随机数有规律吗毕竟程序也是人制造出来的！

随机数分两种：伪随机数和密码学随机数。伪随机数（rand）是有一定规律的，这主要和操作系统以及库函数有关，有人利用这种规律实现过攻击。密码学随机数的规律就很难找了，不过要使用密码学随机数往往需要特殊的硬件。

㈧ 我想知道各种产生随机数的算法循环周期一次是多长。谢谢大家。

尽管是伪随机数，但也是没有规律的，唯一的规律是n=无穷的情况下，近似服从正态分布。

电脑所产生的随机数规律与程序编程算法有关，可以根据算法让随机数有规律，也可以是无规律，如何找规律都要取决于算法和随机数范围数据，一个比较大较难的随机数是无任何规律的。

称为是随机数，所以也不存在循环问题，而是在一定数据范围内数字随机出现，而不是按排序出现。按排序出现的不能称为随机数。

选取足够大的正整数M和任意自然数n0，a，b，由递推公式：

ni+1=（af（ni）+b）mod M i=0，1，…，M-1

生成的数值序列称为是同余序列。当函数f（n）为线性函数时，即得到线性同余序列：

ni+1=（a*ni+b）mod M i=0，1，…，M-1

以下是线性同余法生成伪随机数的伪代码：

Random（n，m，seed，a，b）

{

r0 = seed；

for （i = 1；i<=n；i++）

ri = （a*ri-1 + b） mod m

}

其中种子参数seed可以任意选择，常常将它设为计算机当前的日期或者时间；m是一个较大数，可以把它取为2w，w是计算机的字长；a可以是0.01w和0.99w之间的任何整数。

应用递推公式产生均匀分布随机数时，式中参数n0，a，b，M的选取十分重要。

(8)随机数密码学扩展阅读：

随机数在密码学中非常重要，保密通信中大量运用的会话密钥的生成即需要真随机数的参与。如果一个随机数生成算法是有缺陷的，那么会话密钥可以直接被推算出来。若果真发生这种事故，那么任何加密算法都失去了意义。

密码学中大量利用伪随机数生成器的应用还有流密码。流密码的著名例子是RC4。流密码的原理是利用一个密码学安全的伪随机数生成器根据密钥产生一串密码学安全的伪随机比特列，再将消息与上述随机比特列按位异或运算。

㈨ 计算机程序可以产生真正的随机数吗不是random伪随机

光靠程序是无法实现真随机数的。要实现真正的随机数，必须有真正随机的种子。

在计算机中并没有一个真正的随机数发生器，但是可以做到使产生的数字重复率很低，这样看起来好象是真正的随机数，实现这一功能的程序叫伪随机数发生器。

有关如何产生随机数的理论有许多，如果要详细地讨论，需要厚厚的一本书的篇幅。不管用什么方法实现随机数发生器，都必须给它提供一个名为“种子”的初始值。而且这个值最好是随机的，或者至少这个值是伪随机的。“种子”的值通常是用快速计数寄存器或移位寄存器来生成的。

(9)随机数密码学扩展阅读：

随机数在密码学中非常重要，保密通信中大量运用的会话密钥的生成即需要真随机数的参与。如果一个随机数生成算法是有缺陷的，那么会话密钥可以直接被推算出来。若果真发生这种事故，那么任何加密算法都失去了意义。

密码学中大量利用伪随机数生成器的应用还有流密码。流密码的著名例子是RC4。流密码的原理是利用一个密码学安全的伪随机数生成器根据密钥产生一串密码学安全的伪随机比特列，再将消息与上述随机比特列按位异或运算。