AesCryptoServiceProvider.GenerateKey可以安全使用嗎？

Question

Maarten Bodewes'對this question的評論，建議AesCryptoServiceProvider.GenerateKey()是不安全的用於密鑰生成。

我們正在使用這種方法來生成加密安全密鑰。在Win32 API中查看underlying implementation on Reference Source，GenerateKey()調用CryptGenKey。

我找不到任何暗示CryptGenKey已被泄露的資源。使用這個實現是否安全？

Answer 1

GenerateKey是完全安全的，但是鏈接問題上的實現不是。

您不能調用Key = System.Text.Encoding.ASCII.GetString(provider.Key);從隨機字節數組中獲取字符串，GetString不能用於隨機二進制數據，它只能用於調用ASCII.GetBytes產生的字節數組。如果要以字符串格式存儲密鑰，則需要使用旨在存儲二進制數據的格式，如Key = Convert.ToBase64String(provider.Key);