Node.js uuid.v4 vs crypto.randomUUID.Care implementare este mai sigură criptografic?

Alexander D'Attore

09.03.2023, 08:21

De mult timp am folosit pachetul uuid npm pentru nevoile mele uuid v4. Se pare că în versiunile recente ale nodului au introdus un modul cripto încorporat cu metoda randomUUID.

niste repere au fost făcute pentru a arăta cripto.randomUUID este mult mai rapid decât uuid.v4 (aproximativ 3x +).

Cu toate acestea, nu pot găsi informații despre modul în care implementările diferă (dacă sunt deloc) în ceea ce privește modul în care aleg numere aleatorii pentru UUID-ul lor de ieșire. Este probabil cineva să folosească un RNG mai sigur?

Modulul Nod UUID

Documente Node.js pentru crypto.randomUUID

943

0 + 0

JAAAY

09.03.2023, 08:26

Ambele implementează același RFC.

Răspunde

fgrieu

09.03.2023, 09:09

Acest lucru este atât de specific implementării și cu puțină criptografie (nu există nicio cheie, iar imposibilitatea de a face distincția de aleatorie nu este miezul întrebării) încât pare în afara subiectului. Ce zici să-l întrebi pe [security-SE](https://security.stackexchange.com/) sau [SO](https://stackoverflow.com/)?

Răspunde

Alexander D'Attore

09.03.2023, 10:05

Aceasta este cu siguranță specifică implementării. Miezul întrebării mele este menit să fie care implementare oferă cea mai bună imposibilitate de distingere de aleatoriu.

Răspunde

SAI Peregrinus

09.03.2023, 14:48

Chiar și UUID-urile „aleatoare” se pot distinge de octeții aleatori, prin proiectare. Dar ambele ar trebui să aibă în esență entropie identică pentru acele părți ale UUID-ului care sunt alese aleatoriu, atunci când sunt în modul UUID aleatoriu (în loc de moduri bazate pe timp sau alte moduri specificate în RFC).

Răspunde

Maarten Bodewes

09.03.2023, 21:31

Diferența de 3x de viteză, din păcate, nu vă spune nimic. Un generator de numere aleatoare mai puțin sigur este în general *mult* mai rapid decât viteza de trei ori mai mare. Diferența se datorează probabil diferențelor de implementare sau modului în care sunt preluate aleatorii (de exemplu, octet cu octet sau cuvânt cu cuvânt). [Această postare](https://www.nearform.com/blog/new-crypto-capabilities-in-node-js/) pare să aprofundeze puțin diferențele.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Node.js uuid.v4 vs crypto.randomUUID. Which implementation is more cryptographically secure?

TH: Node.js uuid.v4 กับ crypto.randomUUIDการใช้งานใดมีความปลอดภัยในการเข้ารหัสมากกว่ากัน

RO: Node.js uuid.v4 vs crypto.randomUUID.Care implementare este mai sigură criptografic?

RU: Node.js uuid.v4 против crypto.randomUUID.Какая реализация более криптографически безопасна?

VI: Node.js uuid.v4 so với crypto.randomUUID.Việc triển khai nào an toàn hơn về mặt mật mã?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.