SecureRandom--生成随机数

最新推荐文章于 2024-02-22 10:00:00 发布
最新推荐文章于 2024-02-22 10:00:00 发布
阅读量9.2k 收藏 6
点赞数
CC 4.0 BY-SA版权
分类专栏: 密码学 文章标签: SecureRandom
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/PJF1501105594/article/details/88011300
本文深入探讨了Java中的SecureRandom类,解析其内部实现机制,包括不同随机数算法的区别、使用不当可能引发的安全漏洞,以及如何正确配置和使用SecureRandom。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

*使用不当的方式*

byte[] salt = new byte[128];
 SecureRandom secureRandom = new SecureRandom();
 secureRandom.setSeed(System.currentTimeMillis());  //使用系统时间作为种子
 secureRandom.nextBytes(salt);

为什么?

此处指定了当前系统时间作为种子,替代系统默认随机源。如果同一毫秒连续调用,则得到的随机数则是相同的。

小结:不要自己指定种子。应当使用系统随机源。

系统默认的随机源是什么?

这取决于$JAVA_HOME/jre/lib/security/java.security配置中的securerandom.source属性。例如jdk1.8中该配置为:

securerandom.source=file:/dev/random

SecureRandom漏洞触发条件

      在调用SecureRandom类的构造函数SecureRandom(byte[] seed)。 或者在生成随机数之前调用setSeed(long seed)或者setSeed(byte[] seed)方法设置随机种子 

nextInt()从Random继承而来(同样的使用方式)
nextBytes()生成用户指定的随机字节数。(覆盖Random中的nextBytes() )

参考:https://www.oschina.net/uploads/doc/javase-6-doc-api-zh_CN/java/security/SecureRandom.html#nextBytes%28byte[]%29

SecureRandom——依然是伪随机;注意是收集了一些随机事件,比如鼠标点击,键盘点击等等,SecureRandom 使用这些随机事件作为种子。这意味着,种子是不可预测的,而不像 Random 默认使用系统当前时间的毫秒数作为种子,有规律可寻。

SecureRandom 内置两种随机数算法,NativePRNG 和 SHA1PRNG。 

源码:

private void getDefaultPRNG(boolean setSeed, byte[] seed) {
	String prng = getPrngAlgorithm();
	if (prng == null) {
	    // bummer, get the SUN implementation
	    prng = "SHA1PRNG";
	    this.secureRandomSpi = new sun.security.provider.SecureRandom();
	    this.provider = new sun.security.provider.Sun();
	    if (setSeed) {
		this.secureRandomSpi.engineSetSeed(seed);
	    }
	} else {
	    try {
		SecureRandom random = SecureRandom.getInstance(prng);
		this.secureRandomSpi = random.getSecureRandomSpi();
		this.provider = random.getProvider();
		if (setSeed) {
		    this.secureRandomSpi.engineSetSeed(seed);
		}
	    } catch (NoSuchAlgorithmException nsae) {
		// never happens, because we made sure the algorithm exists
		throw new RuntimeException(nsae);
	    }
	}

获取实例的方式

1.在使用new的方式获得实例时,默认是SHA1PRNG算法(不单独配置的情况下)

2.修改securerandom.source=file:/dev/random 或者 securerandom.source=file:/dev/urandom 两者之一就是NativePRNG,否则就是SHA1PRNG

3.通过getInstance来初始化对象,有一个参数的,直接传一个算法名就行,如果不存在算法抛异常;另外有两个参数的,第二个参数还可以指定算法程序包

SecureRandom secureRandom = new SecureRandom();
SecureRandom secureRandom3 = SecureRandom.getInstance("SHA1PRNG");
SecureRandom secureRandom2 = SecureRandom.getInstance("SHA1PRNG", "SUN");

算法区别:

——SHA1PRNG 性能好,NativePRNG 安全性高。

jvm securerandom.source 导致的sqoop问题分析
leo的大数据之路
06-08 1927
在利用sqoop做抽取数据的同步过程中,经常发生以下错误。我们一直以为是oracle数据库没有打开或者某种连接异常,导致经常要重跑多次才能成功,甚至一度靠加入调度系统的智能重跑关键字中让任务多次重试,一直未定到根本问题并找到解决办法(如下图),会影响调度成功率。 而这次,我们临时要在新环境跑sqoop任务,只起了一个sqoop客户端,失败的概率特别高,所以找到这个问题的解决办法就显
SecureRandom生成随机数-验证码
最新发布
2401_86402485的博客
09-07 618
1)SecureRandom.getInstance(“SHA1PRNG”)初始化慢Linux环境,在项目中用到了随机数,使用了SecureRandom.getInstance(“SHA1PRNG”),发现首次运行,时间极长。本地是Windows环境,运行并不慢。修改Linux的JVM环境,打开$JAVA_PATH/jre/lib/security/java.security这个文件,找到下面的内容。
SecureRandom-随机数生成
weixin_34146805的博客
07-13 2781
随机数:算法+种子 随机数据不随机 学习了:https://www.cnblogs.com/deng-cc/p/8064481.html StringBuffer buffer = new StringBuffer(); int length=64; char[] allChar = {'0','1','2','3','4',...,'a','b','c',...,'A','B','C'...}...
SecureRandom
yangzibin的博客
02-08 293
java.security 类 SecureRandom java.lang.Object java.util.Random java.security.SecureRandom 所有已实现的接口: Serializable public class SecureRandom extends Random   此类提供加密的强随机数生成器 (...
0-100随机数生成
01-05
JAVA中的`java.security.SecureRandom`类是另一个用于生成随机数的类,它更加安全,适用于加密和其他安全性敏感的应用。与`Random`相比,`SecureRandom`的初始化过程更复杂,产生的序列也更难预测,这使得它在生成...
SecureRandom生成随机数慢(阻塞)问题解决记录
liinux-Talk is cheap,show me the code.
01-15 3830
Java的随机数实现有很多坑,记录一下这次使用jdk1.8里新增的加强版随机数实现SecureRandom.getInstanceStrong()遇到的问题。 之前在维护ali-tomcat的时候曾发现过jvm随机数算法选用不当导致tomcat的SessionID生成非常慢的情况,可以参考JVM上的随机数与熵池策略和Docker中apache-tomcat启动慢的问题这两篇文章。不过当时...
securerandom生成随机数
05-25
需要注意的是,由于SecureRandom生成随机数是基于系统熵的,因此生成随机数的速度可能比较慢。如果只需要生成一些简单的随机数,可以考虑使用Random类,它的生成速度会更快。但是在安全性要求较高的场景中,建议...
SecureRandom产生随机数采坑记录
qq_36741161的博客
11-08 4516
前言:最近上线时遇到一个很诡异的问题,这个问题在测试环境和pr环境都没问题,但是在生产环境必现,排查配置、代码是否一致等原因后,最终通过cat生成的traceId和研读代码,花费了两个小时,定到问题是由于SecureRandom产生随机数系统熵池中数量不足,阻塞了当前线程。记录一下这个踩坑经验,希望大家规避掉类似的使用~ 情境描述以及随机算法介绍 系统中经常有获取随机数的场景,我们通常new一个Random对象,通过random.nextInt(size)来获取一个随机数。通过jdk8中对Random类的
Java基础篇--SecureRandom(安全随机)类
m0_59598029的博客
02-22 4250
类是Java中用于生成安全的随机数的一个类。与普通的不同,它提供了一种可信赖的随机数生成器,用于生成具有高度随机性的随机数。类的实例使用了更加安全的随机数生成算法,这些算法通常经过密码学和安全专家的审查和认证。它们被设计为在保密性、完整性和不可预测性等方面具有更高的安全性。下面是一些nextInt():生成一个伪随机的int值。// 生成int范围内的随机整数:生成一个介于0(包括)和指定值n(不包括)之间的伪随机int值。// 生成0到99之间的随机整数。
SecureRandom生成随机数
热门推荐
weixin_35703883的博客
07-20 4万+
1、生成随机数的多种方法 Math.random()一随机数 java.util.Random伪随机数(线性同余法生成) java.security.SecureRandom随机数 a随机数,采用的是类似于统计学的随机数生成规则,其输出结果很容易预测,因此可能导致被攻击者击中。而真随机数,采用的是类似于密码学的随机数生成规则,其输出结果较难预测,若想要预防被攻击者攻击,最好做到使攻击...
random和seurerandom随机数安全
GalaxySpaceX的博客
07-31 1506
random和securerandom随机数安全分析
SecureRandom简介
huapro.vip的程序人生
09-06 9136
SecureRandom是强随机数生成器,主要应用的场景为:用于安全目的的数据数,例如生成秘钥或者会话标示(session ID),在上文《伪随机数安全性》中,已经给大家揭露了弱随机数生成器的安全问题,而使用SecureRandom这样的强随机数生成器将会极大的降低出问题的风险。本文给大家简单介绍一下SecureRandom的相关知识,首先看一下SecureRandom与Random的关系。 S
使用java.security.SecureRandom安全生成随机数和随机字符串工具类
qq_41573661的博客
01-25 2158
使用java.security.SecureRandom安全生成随机数和随机字符串工具类
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值