什麼是加密隨機數？

在密碼學領域，重要的是應該保密的事情保持秘密。面臨的一個問題是預計算。這是攻擊者可以花費大量處理能力來確定輸入組合先發製人的輸出的地方。如果有足夠的處理能力和時間，您可以通過選擇指定的輸入和一堆不同的加密密鑰來測試您獲得的輸出。

然後你可以檢查大量的加密傳輸，看看是否有任何已知的輸出突然出現，並知道使用的消息和密鑰。不幸的是，沒有真正的方法可以完全防止這種情況發生。不過，有可能讓它變得更難。

猜測消息的確切內容和用於加密它的加密密鑰已經很困難了。儘管消息中的單個字符差異會使整個工作變得無用，但它只對簡短的消息才真正可行。否則，措辭和用詞的可能變化太多，甚至有拼寫錯誤和俚語的風險。但即使是這種猜測能力的風險也太高了。更難的是，大多數加密方案都需要第三個值，稱為“初始化向量”或簡稱 IV。

四、

IV 是輸入加密和解密算法的另一個值。它是方程式的第三個變量，它的存在極大地增加了正確猜測生成特定輸出所需的輸入的難度。有趣的是，IV 甚至不需要保密。它所需要的是獨一無二的。

避免預計算攻擊的全部問題是使猜測消息的內容變得更加不可行。為此，您不能只選擇一種靜脈注射並堅持使用它；你必須改變它。此外，每次使用不同的 IV 會使生成的密文的密碼分析變得更加困難。要獲得可靠的唯一值，您需要使用“隨機數”，特別是加密隨機數。

密碼隨機數是由密碼安全的 PRNG 或偽隨機數生成器生成的值，旨在精確使用一次。通常，這是通過在值中加入某種形式的時間戳來實現的。

提示：尤其是在與母語為英式英語的人打交道時，必須特別使用短語“加密隨機數”，而不僅僅是“一次”這個詞。在英國，“一次”是一個俚語，指的是戀童癖者。通常，為避免混淆，最好專門使用術語加密隨機數。

其他用途

雖然唯一值的大多數潛在用例不一定需要加密安全隨機數，但加密隨機數確實符合要求。例如，重放攻擊是一種基於 Web 的攻擊，攻擊者重複發送相同的流量，並經常重放。假設此請求告訴服務器花時間生成報告。攻擊者可以通過多次重複請求來增加所需的工作量。

通常，攻擊者也可以以自動方式稍微修改請求。例如，如果在線商店在頁面 URL 中使用連續的產品編號，則攻擊者可以自動執行請求所有這些編號的過程。

為了解決這個問題，服務器可以在它發出的每個請求中為瀏覽器提供一個一次性令牌。服務器跟踪使用的令牌並自動丟棄不包含有效的未使用令牌的流量。在這種情況下，令牌需要是唯一的並且不應重複使用。因此，加密隨機數符合要求。

結論

加密隨機數是加密安全的隨機數，只能使用一次。這樣做使得預計算攻擊變得不可能，同時不需要密碼隨機數本身保持秘密。它的主要用途是作為加密方案中的初始化向量。

該術語通常被聲稱是指“使用過一次的號碼”；然而，這是一個錯誤的詞源。這個詞來自中古英語，意思是曾經或暫時使用過的東西。儘管如此，“數字使用一次”的概念有助於解釋密碼隨機數的用途。為了幫助實現這一目標，它通常包含某種形式的時間戳。