Różnica między Javą.util.Random i java.Ochrona.SecureRandom

Random ma tylko 48 bitów, gdzie as SecureRandom może mieć do 128 bitów. Szanse na powtórzenie w securerandom są więc bardzo małe.

Random używa system clock jako nasion / lub do generowania nasion. Można je więc łatwo odtworzyć, jeśli atakujący zna czas, w którym ziarno zostało wygenerowane. Ale SecureRandom bierze Random Data z twojego os (mogą to być interwały między naciśnięciami klawiszy itp-Większość os zbiera te dane przechowuje je w plikach - /dev/random and /dev/urandom in case of linux/solaris) i używa tego jako nasiona.
więc jeśli mały rozmiar tokena jest w porządku (w przypadku losowym), możesz nadal używać kodu bez żadnych zmian, ponieważ używasz SecureRandom do generowania nasion. Ale jeśli chcesz większe tokeny (które nie mogą być przedmiotem brute force attacks) Idź z SecureRandom-
w przypadku losowych tylko 2^48 próby są wymagane, z dzisiejszych zaawansowanych procesorów jest to możliwe, aby złamać go w praktycznym czasie. Ale dla securerandom 2^128 będą wymagane próby, które będą trwać latami i latami, aby zerwać nawet z dzisiejsze zaawansowane maszyny.

Zobacz ten link, aby uzyskać więcej szczegółów.
EDIT
Po przeczytaniu linków podanych przez @ emboss, jest jasne, że ziarno, jakkolwiek przypadkowe, może, nie należy stosować z java.util.Przypadkowe. Bardzo łatwo jest obliczyć ziarno, obserwując wydajność.

Wybierz SecureRandom - użyj natywnego PRNG (Jak podano w linku powyżej), ponieważ pobiera losowe wartości z pliku /dev/random dla każdego wywołania nextBytes(). To sposób, w jaki atakujący Obserwujący wyjście nie będzie w stanie wykryć niczego, chyba że kontroluje zawartość pliku /dev/random (co jest bardzo mało prawdopodobne)
Algorytm sha1 prng oblicza ziarno tylko raz i jeśli twoja maszyna wirtualna działa przez wiele miesięcy przy użyciu tego samego ziarna, może zostać złamana przez atakującego, który biernie obserwuje wyjście.

Uwaga {[17] } - jeśli wywołujesz nextBytes() szybciej niż Twój system operacyjny jest w stanie zapisać losowe bajty(entropię) do /dev/random, to może wpaść w kłopoty podczas używania natywnego PRNG. W takim przypadku należy użyć instancji PRNG SHA1 SecureRandom i co kilka minut(lub jakiś interwał) zalać tę instancję wartością z nextBytes() natywnej instancji PRNG SecureRandom. Równoległe uruchamianie tych dwóch funkcji zapewni regularne dodawanie prawdziwych wartości losowych, a jednocześnie nie wyczerpuje entropii uzyskanej przez System operacyjny.

Jeśli uruchomisz dwa razy java.util.Random.nextLong() z tym samym nasionem, wytworzy ten sam numer. Ze względów bezpieczeństwa chcesz trzymać się java.security.SecureRandom, ponieważ jest to o wiele mniej przewidywalne.

2 klasy są podobne, myślę, że wystarczy zmienić Random na SecureRandom za pomocą narzędzia do refaktoryzacji i większość istniejącego kodu będzie działać.

Jeśli zmiana istniejącego kodu jest niedrogim zadaniem, sugeruję użycie klasy SecureRandom zgodnie z sugestią w Javadoc.

Nawet jeśli znajdziesz implementację klasy losowej używa klasy SecureRandom wewnętrznie. nie należy przyjmować za pewnik, że:

1. inne implementacje VM robią to samo.
2. Implementacja klasy losowej w przyszłych wersjach JDK nadal używa klasy SecureRandom

Więc lepszym wyborem jest podążanie za sugestia dokumentacji i przejść bezpośrednio z SecureRandom.

Ziarno jest bez znaczenia. Dobry generator losowy różni się wybraną liczbą pierwotną. Każdy generator losowy zaczyna się od liczby i przechodzi przez "pierścień". Co oznacza, że przechodzisz od jednej liczby do następnej, ze starą wewnętrzną wartością. Ale po chwili można dotrzeć do początku ponownie i zacząć wszystko od nowa. Więc uruchamiasz cykle. (wartość zwracana z generatora losowego nie jest wartością wewnętrzną)

Jeśli użyjesz liczby pierwszej do utworzenia pierścienia, wszystkie liczby w tym pierścieniu otrzymają wybrany, przed ukończeniem pełnego cyklu przez wszystkie możliwe liczby. Jeśli weźmiesz liczby inne niż pierwsze, nie wszystkie liczby są wybierane i otrzymujesz krótsze cykle.

Wyższe liczby pierwsze oznaczają dłuższe cykle przed powrotem do pierwszego elementu. Tak więc Bezpieczny generator losowy ma po prostu dłuższy cykl, zanim ponownie osiągnie początek, dlatego jest bezpieczniejszy. Nie można przewidzieć generowania liczb tak łatwo, jak przy krótszych cyklach.

Innymi słowy: musisz zastąpić wszystkie.

Bieżąca implementacja referencyjna java.util.Random.nextLong() wykonuje dwa wywołania do metody next(int), która bezpośrednio ujawnia 32 bit bieżącego ziarna:

protected int next(int bits) {
    long nextseed;
    // calculate next seed: ...
    // and store it in the private "seed" field.
    return (int)(nextseed >>> (48 - bits));
}

public long nextLong() {
    // it's okay that the bottom word remains signed.
    return ((long)(next(32)) << 32) + next(32);
}

Górne 32 bity wyniku nextLong() są bitami ziarna w czasie. Ponieważ szerokość ziarna wynosi 48 bitów (mówi javadoc), wystarczy*, aby iterację nad pozostałymi 16 bitami (to tylko 65.536 prób), aby określić ziarno, które wyprodukowało drugi 32 bit.

Gdy ziarno jest znane, wszystkie następujące żetony mogą łatwo obliczyć.

Używając wyjścia nextLong() bezpośrednio, częściowo sekret PNG do tego stopnia, że cały sekret można obliczyć z bardzo niewielkim wysiłkiem. Niebezpieczne!

* jest trochę wysiłku, jeśli drugi 32 bit jest ujemny, ale można się tego dowiedzieć.

Postaram się użyć bardzo podstawowych słów, abyś mógł łatwo zrozumieć różnicę między Random i secureRandom a znaczeniem SecureRandom klasy.

Zastanawiałeś się kiedyś, jak generowane jest OTP (one time password)? Do wygenerowania OTP używamy również klasy Random i SecureRandom. Teraz aby twój OTP był silny, SecureRandom jest lepszy, ponieważ zajęło 2^128 spróbuj, aby złamać OTP, co jest prawie niemożliwe przez obecną maszynę, ale jeśli używana jest losowa Klasa, Twoje OTP może zostać złamane przez kogoś, kto może uszkodzić Twoje dane, ponieważ zajęło tylko 2^48 spróbuj, aby złamać.