Использует ли PHP RNG, соответствующий FIPS-140, для генерации идентификаторов сеансов? ⇐ Php

[Anonymous]

Требование для развертывания PHP-приложения, над которым я работаю, заключается в том, чтобы оно использовало криптографические модули, проверенные по стандарту FIPS-140.

Клиент специально отметил, что «PHP использует криптографически слабый генератор случайных чисел для создания информации об идентификаторе сеанса», и процитировал этот отчет: http://berlin.ccc.de/~andreas/php-entropy-advisory.txt

Я посоветовал им, как установить session.entropy_length и session.hash_function для увеличения энтропии, но они не приняли это, в частности, потребовав, чтобы мы использовали ГСЧ, соответствующий FIPS-140.

Я не уверен в разнице между хеш-функцией и ГСЧ, поэтому затрудняюсь ответить. Может ли кто-нибудь предложить способ использования функции, совместимой с FIPS-140, для генерации идентификаторов сеансов в PHP?

Мы используем PHP 5.4.16 на Windows + SQL Server, если это имеет значение.

Спасибо

Подробнее здесь: https://stackoverflow.com/questions/190 ... ession-ids