Entrada tambien en mi blog:
Validacion de token de forma Criptografica, evitar ataques CSRF

Bueno esto viene del tema que abrio el usuario MiguelCanellas    
[Aporte]: Sistema Anti ataques CSRF (Espero sugerencias).

La forma mas sencilla de genera un token sin incluir nada de criptografia  y que se envie al usuario para posteriormente ser validado es la siguiente:

$token = hash("sha256",random_bytes(32));

Esto nos produce una cadena hash sha256 apartir de 1Kilobyte de datos random.

La cosa seria sencilla guardarlo en la $_SESSION en el server y mandarlo al usuario, si lo devuelve comparamos que sean iguales y listo no hay mucho pierde.

Se necesita mas seguridad.... ?

El simple hecho que tengamos una cadena hash sha256 apartir de 1Kilobyte de datos random. hace casi imposible que alguien pueda generar el token por si solo y que coincida con el que generamos nosotros, podriamos incrementar la cantidad de bytes generados por la funcion openssl_random_pseudo_bytes simplemente incrementando su valor.

Ahora si realmente queremos proteger la informacion mediante criptografia tenemos que hacer las cosas bien.

Una implentacion rapida para ejemplificar este proceso es la siguiente:

<?php
	$cipher = 'AES-256-CBC';							//SUIT de cirado utilizada 
	$strkey = "s3cr3tk3yh4x0r";							//Clave en el servidor, secreta, cambiar esta clave de ejemplo POR FAVOR de preferencia utilizar una clave generada de forma segura con openssl_random_pseudo_bytes o /dev/random
	$realkey = hash("sha256",$strkey,true);						//Hash de la clave en formato Raw
	$ivlen = openssl_cipher_iv_length($cipher);					// Obtenemos el tamaño del Vector Inicializado de acuardo a la Suit de cifrado que estemos utilizando
	$iv = openssl_random_pseudo_bytes($ivlen);					// Obtenemos $ivlen bytes random no nos interesa saber su valor
	$token = hash("sha256",random_bytes(32));	//Token sin cifrar este valor nuca lo ve el UserAgent
	$token_cifrado = openssl_encrypt($token,$cipher,$realkey,OPENSSL_RAW_DATA,$iv); 
	$salida = base64_encode($token_cifrado);					//Este valor si lo ve el User Agent
	echo "token: ".$token."\n";
	echo "token cifrado, salida raw: ".$token_cifrado ."\n";
	echo "token cifrado, salida base64: ".$salida."\n";
	$entrada = base64_decode($salida);
	$token_decifrado = openssl_decrypt($entrada,$cipher,$realkey,OPENSSL_RAW_DATA,$iv);
	echo "token decifrado: ".$token_decifrado ."\n";
	if($token_decifrado == $token)	{
		echo "token correcto\n";
	}
	else	{
		echo "token Incorrecto\n";
	}
?>

Si vemos el codigo anterior el "token" que enviaremos al usuario es la salida en base64 del token previamente cifrado.

Acontinuacion una posible salida de las casi infinitas salidas....

La idea en este caso es enviar la informacion cifrada al usurio y cuando este la envie devuelta se descifra y se compara con la almacenada previamente en la $_SESSION del usuario.
Cosas que se pueden mejorar el valor de nuestra Key inicial podria ser un archivo random en nuestro servidor generado previamente, podriamos tener una llave distinta por usuario, etc etc etc...

Una semilla de 8192 bits...



Creo que incluso si la usas con /dev/urandom no tienes suficiente entropia para generar un solo token.

Yo creo que 128-256 bits es más que suficiente. No es necesario pasarlo por ninguna función de cifrado (en especial si útilizas random_bytes u openssl_random_pseudo_bytes). Técnicamente, estás abierto a un ataque de sincronización (que a estás alturas es más teórico que práctico) por usar == para comparar strings que hash_equals.

Es mejor usar simétrica para este tipo de tareas no hay nada mejor. Y a parte es super ligera.

Si es mas rapida la simetrica y pues es la que ejemplifico en el codigo.


Segun la documentacion de random_bytes


Si vemos en getrandom(2)
http://man7.org/linux/man-pages/man2/getrandom.2.html


El unico parametro de random_bytes  es la cantidad de bytes y segun su documentacion


En cambio openssl_random_pseudo_bytes

Si se puede espeficiar el flag de crypto_strong


En general para el ejemplo que postee es igual si el source es random o urandom. Ya si nos ponemos paranoicos podrias leer bytes directamente de /dev/random

En sistemas como FreeBSD a partir de su version 11 /dev/random y /dev/urandom son exactamente el mismo device y nunca se queda sin entropia.

En sistemas como Linux no me he puesto a ver el codigo del kernel, solo me he fijado si openssl tiene forma de utilizar por defecto el RNG que tiene el hardware de intel lo cual si esta activado por defecto y si esta:


Salida:


Y que tambien el Kernel lo tenga habilitado:



Para el ejemplo didactico cualquiera de las 2 funciones que se use esta bien, openssl_random_pseudo_bytes o random_bytes. Ya si nos ponemos paranoicos es otra cosa.

Saludos!

Tienes toda la razon hace unas cuantas versiones del PHP tenia bugs la funcion de openssl... pero ahora ya en las mas recientes no tiene, y efectivamente random_bytes tiene mejor source de random segun disponga el sistema operativo. 

Voy a actualizar el codigo de ejemplo.

Saludos!