1. 什么是真随机数?
真随机数有一个非常基本的特征就是不可预测性
2.什么是伪随机数
大部分程序和语言中的随机数,确实都只是伪随机。是由可确定的函数(常用线性同余),通过一个种子(常用时钟),产生的。这意味着:如果知道了种子,或者已经产生的随机数,都可能获得接下来随机数序列的信息(可预测性)。
在java中存在一个Random类,我们查看其源码就能发现,其就是使用的算法来实现的随机数,算法产生的随机数都不能算真随机数,有其自身的规则。直观来想,计算机就是一种确定的,可预测的的设备:一行行的代码是固定的,一步步的算法是固定的,一个个与非门是固定的。通过这些固定的东西自身产生真随机,当然不可能。
3. 怎么在计算机上得到真随机数
想直接利用算法得到真随机数,这有点难度,但是也不是没有办法的,计算机不能产生随机数,但是现实世界中是有非常多的随机因素的,将这种随机因素引入计算机,就能实现真随机
Unix 内核中的随机数发生器(/dev/random),理论上它能产生真随机。即这个随机数的生成,独立于生成函数,这时我们说这个随机数发生器是非确定的(不可预见的)。
具体来讲,Unix 维护了一个熵池,不断收集非确定性的设备事件,即机器运行环境中产生的硬件噪音,来作为种子。
比如说,时钟,IO 请求的响应时间,特定硬件中断的时间间隔,键盘敲击速度,鼠标位置变化,甚至周围的电磁波等等……直观地讲,你每按一次键盘,动一下鼠标,邻居家 wifi 信号强度变化,磁盘写入速度等等信号,都可能被用来生成随机数。
更具体的,内核提供了向熵池填充数据的接口,比如鼠标的大概就长成这样:
void add_mouse_randomness(__u32 mouse_data) 内核子系统和驱动调用这个函数,把鼠标的位置和中断间隔时间作为噪音源填充进熵池。
可以直接使用真随机数产生器产生的随机数。或者使用真随机数产生器产生的随机数做种子,输入密码学安全的伪随机数产生器产生密码学安全随机数。
4. SecureRandom最佳实践
4.1 基本用法
java.security.SecureRandom基本用法:
byte[] values = new byte[128];
SecureRandom random = new SecureRandom();
random.nextBytes(values);4.2 关于种子的设置
要保证得到安全的随机数,需要使用真随机数产生器产生的随机数做种子。
可能的不当用法:
byte[] salt = new byte[128];
SecureRandom secureRandom = new SecureRandom();
secureRandom.setSeed(System.currentTimeMillis()); //使用系统时间作为种子
secureRandom.nextBytes(salt);此处指定了当前系统时间作为种子,替代系统默认随机源。如果同一毫秒连续调用,则得到的随机数则是相同的。
可以尝试多开几个线程,每个线程都每个线程
系统默认的随机源是什么?
这取决于$JAVA_HOME/jre/lib/security/java.security配置中的securerandom.source属性。例如jdk1.8中该配置为:
securerandom.source=file:/dev/random使用无参构造函数实例化SecureRandom,在大多数系统中,默认的算法是“nativePRNG”,从/dev/random获取随机数。
4.3 熵源不足时阻塞问题
概念回顾:
- "熵值":即是随机值的不确定性度量值。
"熵源":即是随机数的来源。
"熵输入":是伪随机数产生器描述从熵源获取的bit串,用来产生种子。
"种子":即是输入到伪随机数产生器用于初始化的bit串。
问题描述
在Linux系统中,/dev/random是系统提供的安全随机数接口。当通过/dev/random读取随机数的速度可以为产品所接受时,可以直接使用/dev/random读取的随机数。
有时无法满足产品对随机数的使用要求,熵源不足时存在阻塞,会导致得到随机数的速度太慢。
在读取时,/dev/random设备会返回小于熵池噪声总数的随机字节。/dev/random可生成高随机性的公钥或一次性密码本。若熵池空了,对/dev/random的读操作将会被阻塞,直到收集到了足够的环境噪声为止。
解决方法
提高系统随机数产生器产生随机数速度的一种方法:
- 采用haveged守护进程增加系统熵池熵值以提高/dev/random读取随机数的速度。
