2024年5月2日 Go生态洞察:Go 1.22中的安全随机性

2024-06-03 12:20

本文主要是介绍2024年5月2日 Go生态洞察:Go 1.22中的安全随机性,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!


🌷🍁 博主猫头虎(🐅🐾)带您 Go to New World✨🍁

🦄 博客首页——🐅🐾猫头虎的博客🎐

专栏链接

🔗 精选专栏

  • 《面试题大全》 — 面试准备的宝典!
  • 《IDEA开发秘籍》 — 提升你的IDEA技能!
  • 《100天精通鸿蒙》 — 从Web/安卓到鸿蒙大师!
  • 《100天精通Golang(基础入门篇)》 — 踏入Go语言世界的第一步!
  • 《100天精通Go语言(精品VIP版)》 — 踏入Go语言世界的第二步!

领域矩阵

🌐 猫头虎技术领域矩阵
深入探索各技术领域,发现知识的交汇点。了解更多,请访问:

  • 猫头虎技术矩阵
  • 新矩阵备用链接

学会Golang语言,畅玩云原生,走遍大小厂~💐


在这里插入图片描述

文章目录

  • 2024年5月2日 Go生态洞察:Go 1.22中的安全随机性
    • 摘要 🌟
    • 引言 🚀
    • 正文 🌐
      • 统计随机性 🧩
        • Unix中的随机数生成器 🔍
      • Go 1生成器 ⚙️
      • PCG生成器 🌟
      • 加密随机性 🔐
      • ChaCha8Rand生成器 🚀
      • 性能比较 📊
    • 总结 📚
    • 参考资料 🔗
    • 下一篇预告 📢
    • QA 环节 🙋
    • 🐅🐾猫头虎建议Go程序员必备技术栈一览表📖:
  • 原创声明

  • 原创作者: 猫头虎

  • 作者wx: Libin9iOak

  • 作者公众号: 猫头虎技术团队

在这里插入图片描述

2024年5月2日 Go生态洞察:Go 1.22中的安全随机性

摘要 🌟

作为一个技术自媒体博主,我是猫头虎,今天我们来探讨Go 1.22在math/rand和crypto/rand之间的改进,如何通过使用加密随机数源改进了Go的随机性,减少了开发者误用math/rand而导致的安全隐患。📚🔍

引言 🚀

计算机并不随机。硬件设计师们非常努力地确保计算机每次都能以相同的方式运行每个程序。然而,当程序需要随机数时,这就需要额外的努力。传统上,计算机科学家和编程语言将随机数分为两种:统计随机数和加密随机数。在Go中,这分别由math/rand和crypto/rand提供。本文将探讨Go 1.22如何通过在math/rand中使用加密随机数源,使这两者更紧密地结合在一起,带来更好的随机性,并在开发者误用math/rand时减少了损害。

正文 🌐

统计随机性 🧩

统计随机数通过基本的统计测试通常适用于仿真、采样、数值分析、非加密的随机算法、随机测试、输入洗牌和随机指数回退。非常基本、易于计算的数学公式在这些用例中表现良好。然而,这些方法非常简单,知道使用的算法的观察者通常可以在看到足够的值后预测序列的其余部分。

Unix中的随机数生成器 🔍

几乎所有编程环境都提供了生成统计随机数的机制,这可以追溯到C语言和Research Unix第三版(V3),该版本增加了一对函数:srand和rand。以下是用现代C语言翻译的生成器源代码:

uint16 ranx;void srand(uint16 seed) {ranx = seed;
}int16 rand(void) {ranx = 13077 * ranx + 6925;return ranx & ~0x8000;
}

调用srand函数用单个整数种子对生成器进行播种,rand函数返回生成器的下一个数值。这种生成器被称为线性同余生成器(LCGs),尽管有已知的问题,但它们仍被广泛使用。

Go 1生成器 ⚙️

Go 1中的math/rand使用了一种线性反馈移位寄存器生成器。其内部状态是607个uint64组成的切片。生成下一个随机数的算法如下:

func (r *rngSource) Uint64() uint64 {r.tap--if r.tap < 0 {r.tap += len(r.vec)}r.feed--if r.feed < 0 {r.feed += len(r.vec)}x := r.vec[r.feed] + r.vec[r.tap]r.vec[r.feed] = xreturn uint64(x)
}

生成下一个数值的过程非常便宜:两个减法、两个条件加法、两个加载、一个加法和一个存储。然而,由于生成器直接返回其内部状态向量中的一个切片元素,读取607个值即可完全暴露其状态,从而可以预测所有未来的值。

PCG生成器 🌟

在math/rand/v2中,我们使用了Melissa O’Neill在2014年发布的PCG算法。以下是PCG生成器的代码示例:

const (pcgM = 0x2360ed051fc65da44385df649fccf645pcgA = 0x5851f42d4c957f2d14057b7ef767814f
)type PCG struct {x uint128
}func (p *PCG) Uint64() uint64 {p.x = p.x * pcgM + pcgAreturn scramble(p.x)
}func scramble(x uint128) uint64 {hi, lo := uint64(x >> 64), uint64(x)hi ^= hi >> 32hi *= 0xda942042e4dd58b5hi ^= hi >> 48hi *= lo | 1
}

PCG生成器使用更少的状态,且对初始值的敏感性较低,能通过许多统计测试,是一种理想的统计生成器。

加密随机性 🔐

加密随机数需要在实际中完全不可预测,即使观察者知道它们的生成方式并且已经观察到生成的任意数量的值。提供加密随机性的最终任务是操作系统,它可以从物理设备中收集真正的随机性,如鼠标、键盘、磁盘和网络的时序,以及CPU本身测量的电噪声。

ChaCha8Rand生成器 🚀

我们的新生成器ChaCha8Rand基于Daniel J. Bernstein的ChaCha流密码,是math/rand/v2中的rand.ChaCha8的实现。其关键特性如下:

  1. ChaCha8Rand使用32字节种子,作为ChaCha8的密钥。
  2. ChaCha8生成64字节的块,并将块作为16个uint32进行处理。
  3. 每生成16个块,ChaCha8Rand将最后32字节作为下一个16个块的密钥,实现了前向安全性。

以下是ChaCha8Rand的实现示例:

func scramble(x uint128) uint64 {hi, lo := uint64(x>>64), uint64(x)hi ^= hi >> 32hi *= 0xda942042e4dd58b5hi ^= hi >> 48hi *= lo | 1
}

性能比较 📊

ChaCha8Rand在性能上稍逊于Go 1生成器,但在现代服务器上差异不超过3ns,大多数程序不会因此成为瓶颈,而许多程序将受益于改进的安全性。

生成器Uint64速度(ns)N(1000)速度(ns)
Go 1生成器1.83.2
PCG生成器2.12.4
ChaCha8Rand2.42.7

总结 📚

Go 1.22通过加强math/rand,使程序更安全而无需更改代码。这是Go持续确保程序默认安全的一小步。

参考资料 🔗

  • Russ Cox, Filippo Valsorda. Secure Randomness in Go 1.22. May 2, 2024.

下一篇预告 📢

下一篇文章将探讨如何在Go 1.22中确保随机数生成器的安全性,敬请期待!


知识点说明
统计随机性Unix和Go 1生成器的分析
PCG生成器新算法及其优点
加密随机性操作系统的角色及实现
ChaCha8Rand新生成器的详细实现
性能比较三种生成器的性能对比

QA 环节 🙋

Q1: 为什么需要ChaCha8Rand生成器?

A1: ChaCha8Rand生成器结合了统计和加密随机性的优点,提高了安全性,并减少了误用带来的安全隐患。

Q2: PCG生成器有哪些优点?

A2: PCG生成器使用更少的状态,对初始值不敏感,通过了许多统计测试,是理想的统计生成器。

Q3: 如何在程序中使用ChaCha8Rand生成器?

A3: 可以直接创建rand.ChaCha8实例,或使用math/rand/v2中的顶层函数。

通过这篇博客,希望大家能够更好地理解和应用Go 1.22中的安全随机性。感谢阅读!👋

在这里插入图片描述

🐅🐾猫头虎建议Go程序员必备技术栈一览表📖:

☁️🐳 Go语言开发者必备技术栈☸️:
🐹 GoLang | 🌿 Git | 🐳 Docker | ☸️ Kubernetes | 🔧 CI/CD | ✅ Testing | 💾 SQL/NoSQL | 📡 gRPC | ☁️ Cloud | 📊 Prometheus | 📚 ELK Stack


🪁🍁 希望本文能够给您带来一定的帮助🌸文章粗浅,敬请批评指正!🐅🐾🍁🐥

原创声明


  • 原创作者: 猫头虎

  • 作者wx: Libin9iOak
    在这里插入图片描述

  • 作者公众号: 猫头虎技术团队

在这里插入图片描述

学习复习Go生态

本文为原创文章,版权归作者所有。未经许可,禁止转载、复制或引用。

作者保证信息真实可靠,但不对准确性和完整性承担责任

未经许可,禁止商业用途。

如有疑问或建议,请联系作者。

感谢您的支持与尊重。

点击下方名片,加入猫头虎领域矩阵。一起探索科技的未来,洞察Go生态,共同成长。

🔗 猫头虎社群 | 🔗 Go语言VIP专栏| 🔗 GitHub 代码仓库 | 🔗 Go生态洞察专栏

这篇关于2024年5月2日 Go生态洞察:Go 1.22中的安全随机性的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1026977

相关文章

从去中心化到智能化:Web3如何与AI共同塑造数字生态

在数字时代的演进中,Web3和人工智能(AI)正成为塑造未来互联网的两大核心力量。Web3的去中心化理念与AI的智能化技术,正相互交织,共同推动数字生态的变革。本文将探讨Web3与AI的融合如何改变数字世界,并展望这一新兴组合如何重塑我们的在线体验。 Web3的去中心化愿景 Web3代表了互联网的第三代发展,它基于去中心化的区块链技术,旨在创建一个开放、透明且用户主导的数字生态。不同于传统

2024年流动式起重机司机证模拟考试题库及流动式起重机司机理论考试试题

题库来源:安全生产模拟考试一点通公众号小程序 2024年流动式起重机司机证模拟考试题库及流动式起重机司机理论考试试题是由安全生产模拟考试一点通提供,流动式起重机司机证模拟考试题库是根据流动式起重机司机最新版教材,流动式起重机司机大纲整理而成(含2024年流动式起重机司机证模拟考试题库及流动式起重机司机理论考试试题参考答案和部分工种参考解析),掌握本资料和学校方法,考试容易。流动式起重机司机考试技

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业

高效录音转文字:2024年四大工具精选!

在快节奏的工作生活中,能够快速将录音转换成文字是一项非常实用的能力。特别是在需要记录会议纪要、讲座内容或者是采访素材的时候,一款优秀的在线录音转文字工具能派上大用场。以下推荐几个好用的录音转文字工具! 365在线转文字 直达链接:https://www.pdf365.cn/ 365在线转文字是一款提供在线录音转文字服务的工具,它以其高效、便捷的特点受到用户的青睐。用户无需下载安装任何软件,只

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

2024/9/8 c++ smart

1.通过自己编写的class来实现unique_ptr指针的功能 #include <iostream> using namespace std; template<class T> class unique_ptr { public:         //无参构造函数         unique_ptr();         //有参构造函数         unique_ptr(

论文翻译:arxiv-2024 Benchmark Data Contamination of Large Language Models: A Survey

Benchmark Data Contamination of Large Language Models: A Survey https://arxiv.org/abs/2406.04244 大规模语言模型的基准数据污染:一项综述 文章目录 大规模语言模型的基准数据污染:一项综述摘要1 引言 摘要 大规模语言模型(LLMs),如GPT-4、Claude-3和Gemini的快

Go Playground 在线编程环境

For all examples in this and the next chapter, we will use Go Playground. Go Playground represents a web service that can run programs written in Go. It can be opened in a web browser using the follow