使用Random来生成随机数的危险性

原创
2019/02/09 16:29
阅读数 1.3K

我们先来看一个实例

public class SecureTest {
    public static void main(String[] args) {
        Random random1 = new Random(23468);
        for (int i = 0;i < 10;i++) {
            System.out.println(random1.nextInt(1000));
        }
        System.out.println("");
        Random random2 = new Random(23468);
        for (int i = 0;i < 10;i++) {
            System.out.println(random2.nextInt(1000));
        }
    }
}

运行结果

234
344
737
314
431
423
823
503
703
654

234
344
737
314
431
423
823
503
703
654

经过比对,两次随机出来是不是很神奇,而且无论你随机多少次,结果都一样。这里就有一个种子值的问题。

如果不写种子值,其实Random会有一个默认的种子值,这个值就是 System.currentTimeMillis() ,所以我们在代码开发中,你一般不要使用System.currentTimeMillis()来作为token之类的发送给用户,否则将有可能会作为攻击凭证来获取你的随机数,那么你的随机数将无任何意义。

因为Random的种子可预测,我们可以使用SecureRandom来代替Random,SecureRandom是继承于Random的一个类。虽然相同的种子产生的随机数也相同,但SecureRandom的默认种子将不再是System.currentTimeMillis(),而是操作系统里面的一些随机事件。

Instances of java.util.Random are not cryptographically secure. Consider instead using SecureRandom to get a cryptographically secure pseudo-random number generator for use by security-sensitive applications.
SecureRandom takes Random Data from your os (they can be interval between keystrokes etc - most os collect these data store them in files - /dev/random and /dev/urandom in case of linux/solaris) and uses that as the seed.
操作系统收集了一些随机事件,比如鼠标点击,键盘点击等等,SecureRandom 使用这些随机事件作为种子
这些事件是存放在/dev/urandom里面的。
所以基本上,除非黑客控制了你的操作系统,否则很难猜测出你的种子的。
public class SecureTest {
    public static void main(String[] args) {
        SecureRandom random1 = new SecureRandom();
        byte[] seeds = SecureRandom.getSeed(64);
        random1.setSeed(seeds);
        for (int i = 0;i < 10;i++) {
            System.out.println(random1.nextInt(1000));
        }
        System.out.println("");
        SecureRandom random2 = new SecureRandom();
        random2.setSeed(seeds);
        for (int i = 0;i < 10;i++) {
            System.out.println(random2.nextInt(1000));
        }

    }
}

运行结果

931
443
917
223
566
858
494
706
539
360

931
443
917
223
566
858
494
706
539
360

如果不手工设置种子值,就是取/dev/urandom里面的值作为种子值。

展开阅读全文
加载中

作者的其它热门文章

打赏
0
4 收藏
分享
打赏
0 评论
4 收藏
0
分享
返回顶部
顶部