我有一个密码生成器:
import random, string
def gen_pass():
foo = random.SystemRandom()
length = 64
chars = string.letters + string.digits
return ''.join(foo.choice(chars) for _ in xrange(length))
根据文档,SystemRandom使用os.urandom,它使用/dev/urandom抛出随机cryto位。在Linux中,您可以从/dev/urandom或/dev/random中获取随机位,它们都使用内核可以使用的任何熵。可用的熵量可以用tail/proc/sys/kernel/random/entropy-avail进行检查,这将返回一个类似于:129的数字。数值越高,可用的熵就越多。/dev/urandom和/dev/random的区别在于,只有当熵可用性足够高(至少60)时,/dev/random才会吐出位,/dev/urandom总是吐出位。文档中说/dev/urandom适合加密,您只需要对ssl证书等使用/dev/random。
我的问题是,genúpass是否有助于始终生成强加密级密码?如果我尽快调用这个函数,我会不会因为熵池耗尽而在某个时刻停止得到强cryto比特?
问题还可能是为什么/dev/urandom总是产生强cryto位而不关心熵的效用?
有可能是/dev/urandom的设计使其带宽被你能猜到的循环次数所限制,这将与熵量相关,但这是推测,我找不到答案。
这也是我的第一个stackoverflow问题,请批评我。我担心,当知道答案的人可能知道背景时,我给了很多背景。
谢谢
更新
当从中读取/dev/urandom时,我编写了一些代码来查看熵池:
import subprocess
import time
from pygooglechart import Chart
from pygooglechart import SimpleLineChart
from pygooglechart import Axis
def check_entropy():
arg = ['cat', '/proc/sys/kernel/random/entropy_avail']
ps = subprocess.Popen(arg,stdout=subprocess.PIPE)
return int(ps.communicate()[0])
def run(number_of_tests,resolution,entropy = []):
i = 0
while i < number_of_tests:
time.sleep(resolution)
entropy += [check_entropy()]
i += 1
graph(entropy,int(number_of_tests*resolution))
def graph(entropy,rng):
max_y = 200
chart = SimpleLineChart(600, 375, y_range=[0, max_y])
chart.add_data(entropy)
chart.set_colours(['0000FF'])
left_axis = range(0, max_y + 1, 32)
left_axis[0] = 'entropy'
chart.set_axis_labels(Axis.LEFT, left_axis)
chart.set_axis_labels(Axis.BOTTOM,['time in second']+get_x_axis(rng))
chart.download('line-stripes.png')
def get_x_axis(rng):
global modnum
if len(filter(lambda x:x%modnum == 0,range(rng + 1)[1:])) > 10:
modnum += 1
return get_x_axis(rng)
return filter(lambda x:x%modnum == 0,range(rng + 1)[1:])
modnum = 1
run(500,.1)
如果运行此命令并同时运行:
while 1 > 0:
gen_pass()
然后我很可靠地得到了一个这样的图表:
在运行cat /dev/urandom时生成图形看起来更可笑,并且cat /dev/random会变得毫无意义,并且很快保持低位(这也只是每3秒左右读取一个字节)
更新
如果我运行相同的测试,但使用了6个gen_pass()实例,则会得到以下结果:
所以看起来好像有什么东西使我有足够的熵。我应该测量密码生成率,并确保它实际上是被封顶的,因为如果不是,那么可能会发生一些可疑的事情。
更新
我找到这个email chain
这表明,一旦池中只有128位,天王星将停止拉熵。这与上述结果非常一致,意味着在这些测试中,我经常生成垃圾密码。
我以前的假设是,如果熵效用足够高(比如64位以上),那么/dev/urnadom输出是好的。不是这样的,似乎/dev/urandom是为了给/dev/random留下额外的熵,以备需要。
现在我需要找出一个系统随机调用需要多少真正的随机位。
Tags: devimport密码returndefchartrangerandom
热门问题
- 如何用if条件捕获函数返回值
- 如何用if语句判断列表中是否存在该索引?
- 如何用if语句向量化numpy数组中的最大值?
- 如何用IF语句有条件地保存零碎的结果?
- 如何用if语句测试异常对象?
- 如何用IF语句编写二元函数
- 如何用igraph在python中创建顶点权重的图?
- 如何用ijson和python解析json
- 如何用iloc求子矩阵
- 如何用Imagemagick或PIL绘制高质量的图像笔划(边框)?
- 如何用importlib在python中动态导入模块?
- 如何用import语句重写python内置函数?
- 如何用imshow混合裁剪的强度并显示正确的混合强度?
- 如何用in dictionary解析havin dictionary中的json文件
- 如何用in-Django URL替换%20
- 如何用in\op正确构造查询
- 如何用inbuild对象替换文件
- 如何用inheritan类实现flask restful
- 如何用intersphinx正确地编写对外部文档的交叉引用?
- 如何用int修改LpVariable?
热门文章
- Python覆盖写入文件
- 怎样创建一个 Python 列表?
- Python3 List append()方法使用
- 派森语言
- Python List pop()方法
- Python Django Web典型模块开发实战
- Python input() 函数
- Python3 列表(list) clear()方法
- Python游戏编程入门
- 如何创建一个空的set?
- python如何定义(创建)一个字符串
- Python标准库 [The Python Standard Library by Ex
- Python网络数据爬取及分析从入门到精通(分析篇)
- Python3 for 循环语句
- Python List insert() 方法
- Python 字典(Dictionary) update()方法
- Python编程无师自通 专业程序员的养成
- Python3 List count()方法
- Python 网络爬虫实战 [Web Crawler With Python]
- Python Cookbook(第2版)中文版
您可能想了解一下为什么/dev/urandom是解决问题的方法:
http://www.2uo.de/myths-about-urandom/
如果需要更多的熵,
/dev/random/将在读取时阻塞。/dev/urandom/不会。所以是的,如果你用得太快,你的熵就会很低。当然,可能仍然很难猜测,但是如果您真的很担心,可以从/dev/random/读取字节。理想情况下,有一个非阻塞的读取循环和一个进度指示器,这样您可以移动鼠标,并在需要时生成熵。在
/dev/random和/dev/urandom的输出之间有一个细微的区别。正如已经指出的,/dev/urandom不会阻塞。这是因为它的输出来自一个伪随机数生成器,它的种子来自/dev/random中的“实”随机数。/dev/urandom的输出几乎总是足够随机的——它是一个带有随机种子的高质量PRNG。如果你真的需要一个更好的随机数据源,你可以考虑使用硬件随机数生成器——我的上网本有一个VIA C7,它可以生成大量正确的随机数据(我从/dev/random中得到一致的99.9kb/s,从/dev/urandom中得到545kb/s)。另外,如果您正在生成密码,那么您可能需要查看^{} ——它为您提供了很好的可发音密码:)。
相关问题 更多 >
编程相关推荐