세션 ID에 대해 기본 mt19937 RNG 보안을 사용하여 부스트 UUID가 생성됩니까?

Question

예측할 수없는/추측 할 수있는 세션 ID로 사용할 UUID를 생성해야합니다.

이 쉽게 boost's UUID library를 사용하여 수행 할 수 있습니다

boost::uuids::uuid newUUID() 
{ 
    static boost::uuids::random_generator gen; 
    return gen(); 
} 

반환 UUID 쉽게 문자열로 변환 할 수 있습니다.

boost::uuids::uuid newUUID() 
{ 
    static boost::uuids::basic_random_generator<boost::mt19937> gen; 
    return gen(); 
} 

그래서 우리는 메르 센 트위스터 19,937 의사 난수 생성기를 사용하고 있습니다 :에

위의 코드는 동일합니다. 부스트는 seeding it properly의 작업을 심각하게 생각합니다.

그러나 중요한 것은 보안 측면에서 boost::random_device과 같은 비 결정적 RNG를 사용하고 UUID 생성 속도에 어떤 영향을 미칠지에 대해 궁금합니다.

boost::uuids::uuid newUUID() 
{ 
    static boost::uuids::basic_random_generator<boost::random_device> gen; 
    return gen(); 
} 

보안 통찰력을 가진 사람들의 조언을 부탁드립니다.

Answer 1

MT는 암호로 안전한 RNG가 아닙니다.

boost::random_device은 cruptographically secure and non-deterministic 인 경우에만 (docs에 의해) 보증됩니다. 이것은 std::random_device에 해당하지 않습니다.

심각한 응용 프로그램의 경우, 문서화 된 보증을 신뢰할 수 없습니다. 그러나 소규모 중요하지 않은 경우에는해야합니다.

암호로 안전한 보안 코드 또는 시스템을 작성하는 것은 대개 잘못된 생각입니다. 누군가 당신의 시스템을 무너 뜨리는 것이 얼마나 나쁜지 묘사하십시오. 실제로 당신이 그것에 투입해야 할 노력이 얼마나 중요한지는 중요합니다.