GUID有多么可靠的不可猜测？

前一段时间，我在一个Web应用程序，用户可以买票。 由于我们客户的stream程运行的方式，您购买的结果是一个带有票号的URL。

这些是在中东购买物业的门票，每张票可能价值约3,000,000美元。 显然，顺序整数会是一个坏主意。 我们使用GUID，因为它们基本上是不可猜测的，但是我的问题是：它们足够安全吗？

据我所知，.NET产生的GUID是完全伪随机的（除了一些不变的比特）。 但是，我不知道用什么algorithm来生成它们。

MSDN文档告诉我们Random是快速和不安全的， RNGCryptoServiceProvider是缓慢和安全的。 也就是说，假设某人可以投入足够的精力来预测Random的结果，而不是RNGCryptoServiceProvider 。

如果你看到足够长的GUID序列，是否有可能预测未来的期货？ 如果是这样，你需要看多less？

[在我们的具体情况下，后来进行了人身安全检查 – 您必须出示您用来购买机票的护照 – 所以如果有人猜对了别人的GUID，那也不算太坏，所以我们没有出汗当时。 将GUID用作数据库密钥的便利性使其成为一种有用的数据types。]

---

编辑：

所以答案是“不够”。

在下面使用0xA3的答案，并从他链接到的问题的链接，下面的代码将生成密码随机的GUID是有效的RFC 4122的第4.4节 ：

 static Guid MakeCryptoGuid() { // Get 16 cryptographically random bytes RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider(); byte[] data = new byte[16]; rng.GetBytes(data); // Mark it as a version 4 GUID data[7] = (byte)((data[7] | (byte)0x40) & (byte)0x4f); data[8] = (byte)((data[8] | (byte)0x80) & (byte)0xbf); return new Guid(data); } 

这比Guid.NewGuid()产生的GUID要慢得多，但是122位的“非常随机的”数据，它们是安全的，不可预知的。

当然，任何encryption随机文本都可以用于票号，但GUID非常方便。 🙂

和其他版本4的GUID一样，并不是唯一性的绝对保证，但几率是令人印象深刻的。 只要你有less于326,915,130,069,135,865（即sqrt（-2 * 2 ^ 122 * ln（0.99）） ）GUID在同时玩，你可以超过99％肯定没有冲突。 换一种说法：如果像我的应用程序将溢出错误，如果你有比int.MaxValue几乎任何东西，你可以超过99.9999999999999999％肯定没有冲突（即e ^ – （（（2 ^ 31-1）^ 2）/（2 * 2 ^ 122）） ）。 这比陨石在实际应用的一秒钟内（即每1亿年1次 ）不会在地球上消灭大部分生命大约多一千倍。

• 什么是R的多维等价的rbind和cbind？
• 在Xpath中不同？

• Visual Studio构build失败：无法将exe文件从obj \ debug复制到bin \ debug
• 在C＃中调用cURL
• 如何遍历c＃.net中目录中的所有文件？
• .net将小数点格式化为两个地方或一个整数
• 在C＃中是否有内置的月份名称variables？
• 删除尾随零
• 我怎样才能安全地在自定义的WebAPI HttpMessageHandler中设置用户主体？
• 访问修改的closures（2）
• 什么是确定应用程序根目录的最佳方式？