如何在各种编程语言中生成安全的随机数

生成安全的随机数据指什么？为什么要生成安全的随机数据？之前一些文献中这并没有很好得说明如何生成“安全”的随机数。所以，这里将介绍如何在下面的编程语言中安全地生成随机数。

    C/C++

    Java

    .NET

    Node.js

    PHP

    Python

    Ruby

需要包含的一般条件

这篇文章的所有方案都必须只从内核的CSPRNG（Cryptographically Secure Pseudo-Random Number Generator，密码安全的伪随机数生成器）中读取，并且失败后立即关闭。用户空间的RNG以及回退到不安全的RNG都是不允许的。所以，根据平台的不同，使用下面的熵源：

  Windows:
        RtlGenRandom
  Linux:
        getrandom (如何可用的话)
            它的方法是正确的，在播种之前会阻塞，之后不再播种。
        /dev/urandom (老的Linux内核)
            对于在Linux启动时运行的软件，查询/dev/random，直到它可用。这意味着那时/dev/urandom已经播种了，你可以安全地从/dev/urandom中读取内容了，可以用到你的密码中。不要从/dev/random中读取。

   OpenBSD:
        getentropy()
        arc4random_buf() 使用ChaCha20加密算法 (不是RC4)
   其它类Unix系统 (包括OS X):
        /dev/urandom

这里不考虑依赖于haveged，egd等程序的解决方案。

C/C++中的密码安全随机

最简单和安全的方法是，把libsodium库添加到工程的依赖库中，使用randombytes_buf()函数。

在这里查看libsodium是怎样实现这些函数的。PHP团队在其内部的random_bytes函数实现中采用了与此类似的方法。

#include "sodium.h"

int foo() {

    char myString[32];

    int myInt;

    randombytes_buf(myString, 32);

    /* myString will be a string of 32 random bytes */

    myInt = randombytes_uniform(10);

    /* myInt will be a random number between 0 and 9 */

}

如果可以的话就使用libsodium，下面的其它语言也是如此。

Java中的密码安全随机

除了使用libsodium（推荐），也可以直接使用Java的SecureRandom类：

SecureRandom csprng = new SecureRandom();

byte[] randomBytes = new byte[32];

csprng.nextBytes(randombytes);

注意：不要在Linux上使用SecureRandom.getInstanceStrong()，不要被名称误导，它等同于读取/dev/random，这个是不安全的。Java8中new SecureRandom()默认读取/dev/urandom，这才是你需要的。

.NET(C#)中的密码安全随机

普遍采用的方案是使用System.Security.Cryptography.RNGCryptoServiceProvider，比如：

RandomNumberGenerator csprng = new RNGCryptoServiceProvider();

byte[] rawByteArray = new byte[32];

csprng.getBytes(rawByteArray);

如果你需要生成密码上安全的整数，查看Inferno（一个Stan Drapkin写的.NET密码库）中的CryptoRandom类的实现方法。

Node.js中的密码安全随机

不要使用crypto.randomBytes()

var csprng = require("sodium").Random;

var bytes = csprng.randombytes_buf(32);

PHP中的密码安全随机

如果你运行的是PHP 7，有一个内置的函数：

$string = random_bytes(32);

$integer = random_int(0, PHP_INT_MAX);

如何你用的还是PHP 5, 获取random_compat，然后同PHP 7一样使用相同的API。

composer require paragonie/random_compat:^2

请使用版本2。版本1会回退到OpenSSL，如果没有其它可用的熵源，它会导致安全问题。然而，一些人为了兼容性，会明确地使用版本1。

如果你在写一个供别人在他们的工程中使用的PHP 5库，将你的composer.json条件字符串设置为^1|^2。相反，如果你在写一个应用程序，将条件字符串设置为^2。

Python中的密码安全随机

如果你没有使用libsodium： 如果你需要随机字节，使用os.urandom().

如果你需要其它格式的随机数据，你需要使用random.SystemRandom()，而不是random。

import sys

import random

# Random bytes

bytes = os.urandom(32)

csprng = random.SystemRandom()

# Random (probably large) integer

int = csprng.randint(0, sys.maxint)

Ruby中的密码安全随机

不要使用Ruby的SecureRandom!

与名称无关，它不是最好的CSPRNG。幸运的是，Tony Arcieri（密码专家，Cryptosphere 的设计者，全面的密码应用工程师）给Ruby community提供了一个安全的选择，将libsodium的sysrandom接口移植到了Ruby gem中。

建议：使用Sysrandom代理SecureRandom。

安装sysrandom:

gem install sysrandom

Sysrandom与SecureRandom API兼容。可以通过打补丁来代替SecureRandom。