Es mejor usar simétrica para este tipo de tareas no hay nada mejor. Y a parte es super ligera.
Si es mas rapida la simetrica y pues es la que ejemplifico en el codigo.
Asegurate que la función este usando un fuente cristalográfica fuerte. ... Así que no estoy completamente seguro como lo hace /dev/urandom (si es que acaso necesita esos bits exactamente para entropia o si genera en base a una entropia menor).
random_bytes es una mejor opción si se tiene acceso a la función, al menos te quitas la posibilidad de usar una fuente no suficientemente "fuerte".
random_bytes es una mejor opción si se tiene acceso a la función, al menos te quitas la posibilidad de usar una fuente no suficientemente "fuerte".
Segun la documentacion de random_bytes
Código:
On Linux, the » getrandom(2) syscall will be used if available.
On other platforms, /dev/urandom will be used.
Si vemos en getrandom(2)
http://man7.org/linux/man-pages/man2/getrandom.2.html
Código:
By default, getrandom() draws entropy from the urandom source (i.e., the same source as the /dev/urandom device). This behavior can be changed via the flags argument.
El unico parametro de random_bytes es la cantidad de bytes y segun su documentacion
Código:
Return Values:
Returns a string containing the requested number of cryptographically secure random bytes.
En cambio openssl_random_pseudo_bytes
Si se puede espeficiar el flag de crypto_strong
Código:
If passed into the function, this will hold a boolean value that determines if the algorithm used was "cryptographically strong", e.g., safe for usage with GPG, passwords, etc. TRUE if it did, otherwise FALSE
En general para el ejemplo que postee es igual si el source es random o urandom. Ya si nos ponemos paranoicos podrias leer bytes directamente de /dev/random
En sistemas como FreeBSD a partir de su version 11 /dev/random y /dev/urandom son exactamente el mismo device y nunca se queda sin entropia.
En sistemas como Linux no me he puesto a ver el codigo del kernel, solo me he fijado si openssl tiene forma de utilizar por defecto el RNG que tiene el hardware de intel lo cual si esta activado por defecto y si esta:
Código:
openssl engine
Salida:
Código:
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
Y que tambien el Kernel lo tenga habilitado:
Código:
less /proc/cpuinfo
Citar
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc cpuid aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 sdbg fma cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm abm cpuid_fault epb invpcid_single pti ssbd ibrs ibpb stibp tpr_shadow vnmi flexpriority ept vpid ept_ad fsgsbase tsc_adjust bmi1 avx2 smep bmi2 erms invpcid xsaveopt dtherm ida arat pln pts md_clear flush_l1d
Para el ejemplo didactico cualquiera de las 2 funciones que se use esta bien, openssl_random_pseudo_bytes o random_bytes. Ya si nos ponemos paranoicos es otra cosa.
Saludos!