Mobile versionEine Voraussetzung für die Bereitstellung einer PHP-Anwendung, an der ich arbeite, ist, dass sie FIPS-140-validierte kryptografische Module verwendet.
Der Kunde hat ausdrücklich darauf hingewiesen, dass „PHP einen kryptografisch schwachen Zufallszahlengenerator verwendet, um Sitzungs-ID-Informationen zu erzeugen“ und diesen Bericht zitiert: http://berlin.ccc.de/~andreas/php-entropy-advisory.txt
Ich habe sie beraten Informationen dazu, wie man session.entropy_length und session.hash_function einstellt, um die Entropie zu erhöhen, aber sie haben dies nicht akzeptiert und verlangen insbesondere, dass wir einen FIPS-140-kompatiblen RNG verwenden.
Ich bin mir über den Unterschied zwischen der Hash-Funktion und dem RNG nicht sicher, daher fällt es mir schwer, darauf zu antworten. Kann jemand eine Möglichkeit vorschlagen, eine FIPS-140-kompatible Funktion zum Generieren von Sitzungs-IDs in PHP zu verwenden?
Wir führen PHP 5.4.16 unter Windows + SQL Server aus, falls es darauf ankommt.
Vielen Dank
Verwendet PHP einen FIPS-140-kompatiblen RNG, um Sitzungs-IDs zu generieren? ⇐ Php
-
- Similar Topics
- Replies
- Views
- Last post
