关于随机数,你的用法可能一直都是错误的

最新推荐文章于 2023-05-25 15:38:42 发布
最新推荐文章于 2023-05-25 15:38:42 发布
阅读量590 收藏
点赞数
分类专栏: 技术 文章标签: 随机数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/langouster/article/details/90171013
版权

一般我们使用随机数会使用srand和rand函数,但是很多时候我们的用法是不够安全的,比如你用他们来生成一个加密秘钥的时候。

看下下面两行代码的内部工作原理:

srand(123);
printf(rand())

srand执行做的事非常简单:把123存放到线程环境变量里作为起始随机种子
rand的伪代码如下:

function rand() 
{
a = get srand 保存的值
b = (0x343FD*a+0x269EC3);  //关键公式
srand(b) //保存新的种子
return (b>>10) & 0x7FFF
}

这个函数算法比较简单,取出当前保存的随机种子,放到一个公式计算出b,然后把b作为新的种子,最后取高16位作为返回值

根据上面的算法我们可以得出几点结论:

  1. 知道了起始随机种子,每个人都可以获取到一样的随机序列
  2. 已知一段随机数序列,应该可以推算出后面的随机数(已知随机序列虽然不等同于已知上面代码中的b,但根据足够多的高16位应该是可以推算出完整的b的)

在来看一个实际例子,下面这样的秘钥生成函数相信很多人都写过,请问你看出他有什么问题了吗?

	BYTE key[32];

	srand(time(nullptr));
	for (int i = 0; i < 32; i++) {
		key[i] = (BYTE)rand();
	}

问题1:不要以为生成的key是32字节的就以为秘钥是256位的强度,上面的算法key的强度不是 2^256 种组合 , 而是 2^32种组合,因为种子是 2^32 种可能,种子固定了key就固定了。
问题2:再看下srand(time(nullptr))这行代码,这行代码带来的问题是随机种子可以被猜测,如果知道你执行代码的大概时间,我就可以直接取时间区间进行爆破。

上面的代码是之前某知名安全软件犯过这样的错误,他的防破解算法秘钥是像上面那样生成的,被人猜出了私钥,进而写出了keygen。

那如何才能安全的生成生成key,下回有空通过从openssl的源码再分解!

种豆得豆1986
关注
专栏目录
猜数字游戏的实现,包含随机数的使用方法
H48530的博客
11-27 1443
猜数字游戏 题目内容: 用C语言实现一个猜数字游戏。 进入程序,先打印菜单给出提示,1.玩游戏,0.退出程序。当输入0的时候,退出程序。输入1,则继续,然后随机产生一个数字,输入数字猜这个数字的大小,直到猜中这个数字。当你输入的这个数字小于这个随机数,提示猜小了,当你输入数字大于这个随机数,则提示猜大了。直到猜中这个随机数,输出恭喜你猜中了,并结束程序。 具体实现: #define _CRT_SECURE_NO_WARNINGS 1 //猜数字游戏的实现 #include <stdio.h> #
随机数
是否
02-17 306
将目标明确化,细节化 昨天和室友聊天,起去年有什么收获呀? 我们俩四目相对,哈哈一笑,异口同声说到:没有。随后我室友说到,我去年没有收获是因为没有明确的目标,我才意识到我从来没有过明确的目标呀。 在过去,在去年,我有过许多宽泛的目标,比如:读一些书,做一些运动。今天开心,拿起书读了两页,今天天气好,去跑了会步,看起来确实读书和运动了,但仔细回想起来,并没有太大的收获,还容易给自己一种特充实的...
关于随机数 遇到的一些问题和解决办法
u013823233的专栏
11-12 680
我在用Cocos2d-x的引擎开发游戏。(当然我是一个菜鸟  刚大三) 问题一:虽然我运用了随机数,随机出现1~5之间的一个数,但是我发现,我无论怎么调试我的程序,它还是和第一次随机出现的数字一样,也就是不具有随机性。   在网上一插  才发现原来计算机是伪随机数。这些百度 第一个 就有介绍,我就不赘述了  直接上解决办法  :  随机数种子   //初始化随机种子     struc...
C++STL容器篇(三)
qq_60501300的博客
12-19 169
目录 集合 映射 列表 元祖 集合 set/multiset/bitset #include<set> #include<iostream> #include<ctime> #include<string> using namespace std; /* set:集合 数据自带排序性 数据唯一性 */ class Mickey { public: Mickey(string name,int age):name(name),
C++关于随机数用法,srandrand
weixin_45907018的博客
01-22 1625
一般C++程序员可通过两个步骤生成随机数 1.设置随机数种子 2.通过复杂的数学运算生成序列的下一个数 如果用第二种,虽然序列几乎不可能预测,但他仍具有确定性(因为它是由上一个数计算而来)。为防止下一个数被预测,就必须设置种子,而且每次都不同;从哪里获取这样一个数呢? 很简单–系统时间 获取随机数 首先引入头文件 include <cstdlib> //支持rand和srand函...
伪随机生成器(rand函数),随机数种子(srand函数)详细解读与分析:
weixin_73684284的博客
12-06 8197
1,rand函数: 2,srand函数: 1)srand函数的介绍: 2)srand函数各个参数的解释: 3)种子函数调用时间函数的具体分析: 4)srand函数生成随机数的代码分析: a.生成随机数; b.生成0~100以内的随机数 c.随机数的连续输出及其连续输出情况讲解与分析
NIST随机数测试软件下载,安装、和使用,分析方法最新版(19年4月)
热门推荐
weixin_39928192的博客
04-12 2万+
NIST随机数测试软件下载,安装、和使用方法NIST简介NIST下载与安装NIST软件的使用NIST软件使用过程中可能的出错如何查看finalAnalysisReport.txt和freq.txt总结 毕设设计了一个伪随机数生成器,用到了NIST检验伪随机数的随机性,现在由于软件的更新等原因,以前前辈的博客里或多或少有些小问题,这里写个博客总结一下博主安装及使用过程中的经验。 NIST简介 NIS...
随机数大家都会用,但是你知道生成随机数的算法吗?间接
故事细腻的
01-12 300
今天我们来和大家聊聊随机数。 大家如果学过编程对于随机数应该都不陌生,应该或多或少都用到过。再不济我们每周的抽奖都是用随机数抽出来的,我们用随机数的时候,往往都会加一个前缀,说它是伪随机数,那么这个伪随机数的伪字该怎么解释,什么又是真随机数呢? 真伪随机数 目前学界划分真伪随机数的方式非常简单,一句话就能说明白,凡是用一定的算法使用程序生成的都是伪随机数,通过物理现象产生的随机数才是真随机数。也就是说计算学家们已经证明了仅仅依靠算法是无法生成真随机数的,也可以认为这是一个NP问题。 算法生成的都是伪随机数
pwn-随机计算题类型
最新发布
IT_huanhuan的博客
05-25 1290
沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,**只能采取open/read/write的组合方式来读取flag。
160个CrackMe之123
_KaQqi的博客
10-01 790
我并不是大神,所以哪里写的不对,还请各位大佬们指出来。0x0 分析算法 OD载入,搜索字符串,发现关键函数0x004013C0,给这个函数下断点,然后随便输入一串注册码,程序成功断下。首先,程序将字符串”ABCDEFGHIJKLMNOPQRSTUVWXYZ”拷贝到一个新的地址处00401421 B9 06000000 mov ecx, 0x6 00401426 BE 4
每日一题——随机函数库random
weixin_51995147的博客
06-17 1553
seed():初始化随机数生成器。 randrange():来处理任意大的区间。 randrange():从 range(start, stop, step) 返回一个随机选择的元素。 randint(a, b):返回随机整数 N 满足 a
菜鸟逆袭 CrackMe第一弹
要不,单步调试走起?
12-28 2752
小弟最近初学破解,这次我第一次破解成功。尽管是在riijj大神的神文的指导下完成(神文出处),但还是很开心。 特发此文。 Ps:可能因为排版问题,中间的分析看上去有点乱,大家可以重点看最后面的分析哦。或者把它复制到txt文本中会看上去会舒服点。。 ============================================================= 这是我们要破解的目标
c的rand()函数,相同的种子,windows和android下产生的随机数列不一样
zhch152的专栏
08-22 2014
c的rand()随机函数,相同的种子,在windows和android下产生的随机数列不一样 最近写了个纸牌游戏,发牌算法里面用到了随机函数 rand(),以用户输入的 数字 为种子,但是发现在android上和windows上产生的牌序列不一样,具体原因不太清楚,应该是两平台rand()函数的实现不一样,于是想找到rand函数的源码看看,在百度搜索不到,最好好不容易从google找到了 一个段
[web 安全] php随机数安全问题
weixin_30271335的博客
10-09 143
and() 和 mt_rand() 产生随机数srand() 和 mt_srand() 播种随机数种子(seed)使用: <?php srand(123);//播种随机数种子 for($i=0; $i<5; $i++){ echo rand()."\n";//产生随机数 } ?> 随机数种子一样,随机数序列则会完全一相同。 所以知道随机数种子后,就能知...
srand无效?
^_^
05-29 3236
程序在启动后,初始化的时候正确调用了srand(time(NULL)). 但是在之后使用的地方,rand() 得到的随机数序列,每次程序运行都是一致的。也就是srand()根本没起作用。更进一步调试,把srand注释掉,得到的随机数序列是一致的。这就奇怪了。 调了半天,没啥进展,跟进srand的实现看看: void __cdecl srand ( unsigned int seed
rand()和srand()用法
小孟同学的博客
09-20 1918
rand()产生伪随机数,需要srand()来设置一个种子,通常用系统时间 示例: #include&lt;stdio.h&gt; #include&lt;stdlib.h&gt; #include&lt;time.h&gt; int main() { srand(time(NULL));//使用系统时间产生随机数 for (int i = 0; i &lt; 10; i++) { print...
Go语言随机数seed使用误区与解决方法
在Go编程语言中,使用`rand.Seed()`函数结合当前时间(如`time.Now().Unix()`)作为种子生成随机数时,可能会遇到一个意想不到的现象:连续多次生成的随机数相同。这个问题出现在循环中,尽管每次调用`time.Now()....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值