[gelöst] [PHP] Zufällige Zahlen, Buchstaben & Sonderzeichenkombination macht Probleme

[Cyperfriend]

Ich habe im Internet ein Script gefunden und das ein wenig für meine Bedürfnisse angepasst.
Grundsätzlich funktioniert es, aber bei der Erstellung des Zufalls-Strings bekomme ich auf der Seite an manchen Stellen ein kryptisches Symbol.

Zuerst dachte ich, dass da wohl einige Zeichen nicht richtig interpretiert werden, weil ich das recht lieblos in eine Test-PHP ohne Doctype und so geschmissen habe, aber als ich mir die einzelnen Strings angeguckt habe um rauszufinden welche Zeichen Probleme machen war alles super.

Hier mal das Script:

$for_salt = ("abcdefghijklmnopqrstuvwxyz");
$for_salt .= ("123456789");
$for_salt .= ("äüöß-.,_:;!§$%&/()=?<>");


for ($i=0;$i<100;$i++) {
$tmp = mt_rand(0, strlen($for_salt)-1);
$salt .= $for_salt[$tmp];
}
echo "Salt: ".$salt."<br>";
echo "Test: ".$for_salt;

Ein Ergebis kann dann so aussehen:

Salt: y�h�6k.!(nc87>�z�8�y)�kr�bgg&sfshb=weü5)djv�22o-,çwi7�g?)�$fk&%%)=�&i�tfgd>yuy,%p;�pt�$%c=2=d)�%�/
Test: abcdefghijklmnopqrstuvwxyz123456789äüöß-.,_:;!§$%&/()=?<>

Was ist nun das Problem und wie behebe ich es?

 

[Kugelfisch]

Re: [PHP] Zufällige Zahlen / Buchstaben / Sonderzeichenkombination macht Probleme

Das Problem ist, dass du nicht-ASCII-Sonderzeichen (äüöß) in UTF-8-Zeichencodierung nutzt, der Zugriff auf einzelne Zeichen eines Strings jedoch - wie in http://www.php.net/language.types.string.php#language.types.string.substr erwähnt - nicht Multi-Byte-Sicher ist. Dadurch generierst du ungültige UTF-8-Zeichen, welche dann in der Ausgabe als Replacement Character (�) dargestellt werden. Mutmasslich wäre ohnehin sinnvoll, auf nicht-ASCII-Zeichen zu verzichten, möchtest du deinen Algorithmus auf einem UTF-8-String implementieren, müsstest du PHPs Multi-Byte-Stringfunktionen nutzen, z.B.:

for ($i=0;$i<100;$i++) {
   $tmp = mt_rand(0, mb_strlen($for_salt,'UTF-8')-1);
   $salt .= mb_substr($for_salt,$tmp,1,'UTF-8');
}

Beachte auch, dass die dadurch erzeugte Zeichenkette nur eine sehr begrenzte Entropie aufweist, denn mt_rand() erzeugt keine kryptografisch sicheren Pseudo-Zufallszahlen und wird mit einer Grösse mit einer verhältnismässig geringen Entropie (der aktuellen Systemzeit) initialisiert. Dies ist auch in der Dokumentation von mt_rand() unter http://php.net/manual/en/function.mt-rand.php vermerkt. Sofern du die OpenSSL-Erweiterung zur Verfügung hast, könntest du als Alternative http://php.net/manual/en/function.openssl-random-pseudo-bytes.php nutzen.

 

[Krutius]

Re: [PHP] Zufällige Zahlen / Buchstaben / Sonderzeichenkombination macht Probleme

nimmst du die Zeichen "äüöߧ" raus, dann klapts. Zumindest bei mir. Dürft an der Kodierung liegen.

Ich würde sowieso gemäss dem schon öfters erwähnten Artikel entweder mcrypt_create_iv oder openssl_random_pseudo_bytes verwenden, da mt_rand höchstwarscheinlich keine kryptografisch sicheren zufallszahlen liefert.

die ? dürften nur ein Problem der Ausgabe sein, und intern keine Probleme verursachen (hoffe ich). Edit: falsch, siehe Kugelfisch

edit: Zeitliche überschneidung mit Kugelfisch, seine Antwort ist auch deutlich präziser.

 

[Cyperfriend]

Re: [PHP] Zufällige Zahlen / Buchstaben / Sonderzeichenkombination macht Probleme

Habe jetzt nicht verstanden wo das Problem mit mt_rand() liegt.
In der PHP Dokumentation heißt es nur, dass mt_rand() besser ist als rand()

Danke für den Hinweis Krutius. Habe "äüöߧ?" rausgenommen. Passt jetzt

 

[Kugelfisch]

Re: [PHP] Zufällige Zahlen / Buchstaben / Sonderzeichenkombination macht Probleme

In der PHP Dokumentation heißt es nur, dass mt_rand() besser ist als rand()

Das Problem (das bei der PHP-Dokumentation leider keine Seltenheit ist) ist die unvollständige Übersetzung der englischsprachigen Original-Dokumentation, welche den folgenden Warnhinweis enthält:

This function does not generate cryptographically secure values, and should not be used for cryptographic purposes. If you need a cryptographically secure value, consider using openssl_random_pseudo_bytes() instead.

Ob das ein Problem ist, hängt vom konkreten Anwendungsfall ab. Für ein Hash-Salt, das keine geheimzuhaltende Information ist, mag es u.U. ausreichen, für kryptografisches Schlüsselmaterial mit Sicherheit nicht. Die von mt_rand() erzeugten Zufallszahlenfolgen sind bis zu einem gewissen Grad vorhersagbar, da als einzige Entropiequelle die Systemzeit verwendet wird, die zudem leicht vorhersagbar ist.

 

[Exterminans]

Re: [PHP] Zufällige Zahlen / Buchstaben / Sonderzeichenkombination macht Probleme

Mal davon abgesehen ist mt_rand keinesfalls uneingeschränkt besser. Der Unterschied ist, aus welcher Bibliothek der jeweilige Algorithmus stammt.

mt_rand basiert auf dem Mersenne-Twister und ist Teil der PHP-eigenen Bibliotheken.
rand hingegen ist die rand-Funktion aus der libc, sprich die Qualität hängt sehr stark davon ab, welcher Algorithmus jeweils in der installierten libc-Version verwendet wird. Da gab es in der Vergangenheit teilweise Probleme, die sind aber nicht mehr wirklich aktuell. Aktuell ist der Mersenne-Twister sogar eher langsamer und liefert trotzdem tendenziell eine "weniger zufällige" Verteilung bei großen Zahlen.

 

[Cyperfriend]

Re: [PHP] Zufällige Zahlen / Buchstaben / Sonderzeichenkombination macht Probleme

Aber um einen Salt zu erzeugen sollte das doch ausreichen oder muss ich mich weiter verkünsteln?

 

[Kugelfisch]

Re: [PHP] Zufällige Zahlen / Buchstaben / Sonderzeichenkombination macht Probleme

Für die rein interne Verwendung als Salt-Hash reicht deine Methode meines Erachtens zwar aus, zumindest sehe ich keinen konkreten Angriffspunkt. Sofern du allerdings die OpenSSL-Erweiterung ohnehin zur Verfügung hast, sehe ich keinen Grund, nicht openssl_random_pseudo_bytes zu nutzen - das wäre in deinem Fall sogar simpler, um eine Zeichenkette bestehend aus 100 zufälligen Bytes zu erzeugen, reicht:

$salt = openssl_random_pseudo_bytes(100);

Beachte, dass die Bytes tatsächlich zufällig sind, also auch nicht-druckbare Zeichen enthalten können. Für die Berechnung des Hashs ist das kein Problem, vor dem Speichern in eine Text-Spalte einer Tabelle solltest du den Salt jedoch Base64-kodieren (base64_encode()).