Kiedy należy używać uuid.uuid1 () vs.uuid.uuid4 () w Pythonie?

Jednym z przypadków, gdy można rozważyć uuid1() zamiast uuid4() jest , gdy uuid są produkowane na oddzielnych maszynach, na przykład, gdy na kilku maszynach przetwarzanych jest wiele transakcji online w celu skalowania.

W takiej sytuacji ryzyko kolizji spowodowane na przykład słabym wyborem w sposobie inicjowania generatorów liczb pseudolosowych, a także potencjalnie większa liczba wytwarzanych uuid, zwiększa prawdopodobieństwo utworzenia duplikaty identyfikatorów.

Innym zainteresowaniem uuid1(), w tym przypadku jest to, że maszyna, na której każdy GUID został pierwotnie wytworzony, jest domyślnie rejestrowana (w części" węzła " UUID). To i informacje o czasie mogą pomóc, jeśli tylko w debugowaniu.

Mój zespół wpadł w kłopoty, używając UUID1 do skryptu aktualizacji bazy danych, w którym wygenerowaliśmy ~120k uuid w ciągu kilku minut. Kolizja UUID doprowadziła do naruszenia głównego ograniczenia klucza.

Zaktualizowaliśmy 100 serwerów, ale na instancjach Amazon EC2 napotkaliśmy ten problem kilka razy. Podejrzewam słabą rozdzielczość zegara i przejście na UUID4 rozwiązało to za nas.

Należy zwrócić uwagę na jedną rzecz przy użyciu uuid1, jeśli używasz domyślnego wywołania (bez podawania parametru clock_seq), masz szansę na kolizję: masz tylko 14 bitów losowości (generowanie 18 wpisów w ciągu 100ns daje około 1% szansy na kolizję patrz paradoks/atak urodzinowy). Problem nigdy nie wystąpi w większości przypadków użycia, ale na maszynie wirtualnej ze słabą rozdzielczością zegara ugryzie cię.

Być może coś, o czym nie wspomniano, to miejsce.

Adres MAC lub kolejność oparta na czasie (UUID1) może pozwolić sobie na zwiększenie wydajności bazy danych, ponieważ sortowanie liczb jest mniej pracy niż sortowanie liczb rozproszonych losowo (UUID4) (Zobacz TUTAJ).

Drugi powiązany problem polega na tym, że używanie UUID1 może być przydatne w debugowaniu, nawet jeśli dane pochodzenia są utracone lub nie są bezpośrednio przechowywane (jest to oczywiście sprzeczne z kwestią prywatności wspomnianą przez OP).

Oprócz zaakceptowanej odpowiedzi, istnieje trzecia opcja, która może być przydatna w niektórych przypadkach:

V1 z losowym MAC ("v1mc")

Możesz utworzyć hybrydę między v1 i v4, celowo generując uuid v1 z losowym adresem MAC (jest to dozwolone przez specyfikację v1). Wynikowy UUID v1 jest zależny od czasu (jak zwykły v1), ale nie zawiera wszystkich informacji specyficznych dla hosta (jak v4). Jest również znacznie bliżej v4 w swojej odporności na kolizje: v1mc = 60 bitów czasu + 61 losowych bits = 121 unikalnych bitów; v4 = 122 losowe bity.

Pierwszym miejscem, z którym się spotkałem, była funkcja Postgres' uuid_generate_v1mc(). Od tego czasu używałem następującego odpowiednika Pythona:

from os import urandom
from uuid import uuid1
_int_from_bytes = int.from_bytes  # py3 only

def uuid1mc():
    # NOTE: The constant here is required by the UUIDv1 spec...
    return uuid1(_int_from_bytes(urandom(6), "big") | 0x010000000000)

(Uwaga: mam dłuższą + szybszą wersję, która bezpośrednio tworzy obiekt UUID; może pisać, jeśli ktoś chce)

W przypadku dużych ilości wywołań / sekundę, ma to potencjał do losowości układu. Możesz użyć modułu stdlib random zamiast tego (prawdopodobnie będzie też szybciej). Uwaga: atakujący może określić stan RNG, a tym samym częściowo przewidzieć przyszłe uuid, potrzeba tylko kilkuset uuid.

import random
from uuid import uuid1

def uuid1mc_insecure():
    return uuid1(random.getrandbits(48) | 0x010000000000)