oracle – DBMS_RANDOM被认为危险吗？

发布时间：2020-12-12 13:11:57 所属栏目：百科来源：网络整理

导读：我们的数据库团队希望从PUBLIC撤消对DBMS_RANDOM的执行以解决安全问题.如果你谷歌为它,一些安全专家认为该包危险,但没有说明原因. Ingram和Shaul的书“Practical Oracle Security”指出 …granting PUBLIC access to DBMS_RANDOM in environments where the

我们的数据库团队希望从PUBLIC撤消对DBMS_RANDOM的执行以解决安全问题.如果你谷歌为它,一些安全专家认为该包危险,但没有说明原因. Ingram和Shaul的书“Practical Oracle Security”指出

…granting PUBLIC access to DBMS_RANDOM in environments where the
function is used in cryptographic key generation could lead to
compromise of the encrypted data…

Oracle文档说

DBMS_RANDOM is not intended for cryptography.

……而且……

DBMS_CRYPTO.RANDOMBYTES … returns a RAW value containing a
cryptographically secure pseudo-random sequence of bytes,which can be
used to generate random material for encryption keys.

所以,DMBS_RANDOM似乎可以用于生成伪随机数(只要你不用它来构造密码).为什么这对PUBLIC来说太危险了？

编辑：
刚刚找到一个新的source,声称

DBMS_RANDOM: allows encrypting of data without requiring safe management of encryption keys.

这也是胡说八道,不是吗？

将DBMS_RANDOM用于加密密钥生成时,不应将其授予PUBLIC的原因是攻击者可以使用它来确定密钥生成中的种子值和/或模式,这可用于确定数据的密钥.加密.这就是它可能导致加密数据受损的原因.它当然不是一个简单的攻击,但对于有足够处理能力的人来说这是可能的.

DBMS_RANDOM不应该用于加密,因为它太可预测了.对于加密密钥生成,只应使用安全随机函数.这些函数试图通过测量诸如白噪声之类的东西并从中产生值来尽可能随机.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!