oracle – DBMS_RANDOM被认为危险吗?

前端之家收集整理的这篇文章主要介绍了oracle – DBMS_RANDOM被认为危险吗?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我们的数据库团队希望从PUBLIC撤消对DBMS_RANDOM的执行以解决安全问题.如果你谷歌为它,一些安全专家认为该包危险,但没有说明原因. Ingram和Shaul的书“Practical Oracle Security”指出

…granting PUBLIC access to DBMS_RANDOM in environments where the
function is used in cryptographic key generation could lead to
compromise of the encrypted data…

Oracle文档说

DBMS_RANDOM is not intended for cryptography.

……而且……

DBMS_CRYPTO.RANDOMBYTES … returns a RAW value containing a
cryptographically secure pseudo-random sequence of bytes,which can be
used to generate random material for encryption keys.

所以,DMBS_RANDOM似乎可以用于生成随机数(只要你不用它来构造密码).为什么这对PUBLIC来说太危险了?

编辑:
刚刚找到一个新的source,声称

DBMS_RANDOM: allows encrypting of data without requiring safe management of encryption keys.

这也是胡说八道,不是吗?

将DBMS_RANDOM用于加密密钥生成时,不应将其授予PUBLIC的原因是攻击者可以使用它来确定密钥生成中的种子值和/或模式,这可用于确定数据的密钥.加密.这就是它可能导致加密数据受损的原因.它当然不是一个简单的攻击,但对于有足够处理能力的人来说这是可能的.

DBMS_RANDOM不应该用于加密,因为它太可预测了.对于加密密钥生成,只应使用安全随机函数.这些函数试图通过测量诸如白噪声之类的东西并从中产生值来尽可能随机.

猜你在找的Oracle相关文章