使用Random来生成随机数的危险性

最新推荐文章于 2024-09-07 21:19:23 发布
最新推荐文章于 2024-09-07 21:19:23 发布
阅读量850 收藏
点赞数 1
文章标签: 操作系统 python java
原文链接:https://my.oschina.net/u/3768341/blog/3008701
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

我们先来看一个实例

public class SecureTest {
    public static void main(String[] args) {
        Random random1 = new Random(23468);
        for (int i = 0;i < 10;i++) {
            System.out.println(random1.nextInt(1000));
        }
        System.out.println("");
        Random random2 = new Random(23468);
        for (int i = 0;i < 10;i++) {
            System.out.println(random2.nextInt(1000));
        }
    }
}

运行结果

234
344
737
314
431
423
823
503
703
654

234
344
737
314
431
423
823
503
703
654

经过比对,两次随机出来是不是很神奇,而且无论你随机多少次,结果都一样。这里就有一个种子值的问题。

如果不写种子值,其实Random会有一个默认的种子值,这个值就是 System.currentTimeMillis() ,所以我们在代码开发中,你一般不要使用System.currentTimeMillis()来作为token之类的发送给用户,否则将有可能会作为攻击凭证来获取你的随机数,那么你的随机数将无任何意义。

因为Random的种子可预测,我们可以使用SecureRandom来代替Random,SecureRandom是继承于Random的一个类。虽然相同的种子产生的随机数也相同,但SecureRandom的默认种子将不再是System.currentTimeMillis(),而是操作系统里面的一些随机事件。

Instances of java.util.Random are not cryptographically secure. Consider instead using SecureRandom to get a cryptographically secure pseudo-random number generator for use by security-sensitive applications.
SecureRandom takes Random Data from your os (they can be interval between keystrokes etc - most os collect these data store them in files - /dev/random and /dev/urandom in case of linux/solaris) and uses that as the seed.
操作系统收集了一些随机事件,比如鼠标点击,键盘点击等等,SecureRandom 使用这些随机事件作为种子
这些事件是存放在/dev/urandom里面的。
e52088fc528b6c642dc1f7c4bd1b0d1a5ab.jpg
所以基本上,除非黑客控制了你的操作系统,否则很难猜测出你的种子的。 
public class SecureTest {
    public static void main(String[] args) {
        SecureRandom random1 = new SecureRandom();
        byte[] seeds = SecureRandom.getSeed(64);
        random1.setSeed(seeds);
        for (int i = 0;i < 10;i++) {
            System.out.println(random1.nextInt(1000));
        }
        System.out.println("");
        SecureRandom random2 = new SecureRandom();
        random2.setSeed(seeds);
        for (int i = 0;i < 10;i++) {
            System.out.println(random2.nextInt(1000));
        }

    }
}

运行结果

931
443
917
223
566
858
494
706
539
360

931
443
917
223
566
858
494
706
539
360

如果不手工设置种子值,就是取/dev/urandom里面的值作为种子值。

转载于:https://my.oschina.net/u/3768341/blog/3008701

weixin_34295316
关注
random和seurerandom随机数安全
GalaxySpaceX的博客
07-31 1102
random和securerandom随机数安全分析
生成安全的随机数
weixin_33829657的博客
08-05 565
在许多类型软件的开发过程中,都要使用随机数。例如纸牌的分发、密钥的生成等等。随机数至少应该具备两个条件: 1. 数字序列在统计上是随机的。2. 不能通过已知序列来推算后面未知的序列。 只有实际物理过程才是真正随机的。而一般来说,计算机是很确定的,它很难得到真正的随机数。所以计算机利用设计好的一套算法,再由用户提供一个种子值,得出被称为“伪随机数”的数字序列,这就是我们平时所使用的随机数...
SecureRandom生成随机数-验证码
最新发布
2401_86402485的博客
09-07 322
1)SecureRandom.getInstance(“SHA1PRNG”)初始化慢Linux环境,在项目中用到了随机数,使用了SecureRandom.getInstance(“SHA1PRNG”),发现首次运行,时间极长。本地是Windows环境,运行并不慢。修改Linux的JVM环境,打开$JAVA_PATH/jre/lib/security/java.security这个文件,找到下面的内容。
不安全的Random
Pure_Eyes的博客
06-26 1680
jdk自带的Random生成随机数放在生产环境是不安全的,存在暴利破解的风险,并且虽然其实线程安全的,但可能发生线程竞争降低效率。 考虑并发性能时可采用ThreadLocalRandom 考虑高安全性时可采用SecureRandom ...
聊一聊随机数安全
renwotao2009的专栏
06-12 6994
0x00 简介和朋友聊到一个比较有意思的现象,在最近两年的校招面试中,大部分同学连一点基础的密码学知识都没有, 即便是有一些渗透功底的同学。所以这里想和大家聊一些简单的密码学基础知识,不涉及算法实现,更多的是和常见的漏洞场景联系起来,让问题更容易理解,有点抛砖引玉的意思。本文主要聊一下随机数,随机数其实是非常广泛的,可以说也是密码技术的基础。对随机数的使用不当很可能会导致一些比较严重的安全问题, 并
所有编程语言为我作证,随机数"骗局"大揭秘,随机数都是骗人的!
测试帮日记
06-05 684
在所有编程语言中都提供了"生成一个随机数"的方法,也就是调用这个方法会生成一个数,我们事先也不知道它生成什么数。比如在C#中编写下面的代码Randomrand=newRandom(); Console.WriteLine(rand.Next()); 运行后结果如下: Next()方法用来返回一个随机数。同样的代码你执行和我的结果很可能不一样,而且我多次运行的结果也很可能不一...
Linux随机数生成器:原理、隐患与安全挑战
在Linux操作系统中,随机数生成器(LRNG,Linux Random Number Generator)扮演着至关重要的角色,因为它涉及到系统的安全性,如TLS/SSL密钥生成、TCP序列号的确定以及文件系统和电子邮件的加密等。LRNG依赖于操作...
【转】利用系统时间可预测破解java随机数
06-01
这通常发生在程序依赖于系统时间来生成随机数序列时,而Java的`java.util.Random`类就存在这样的潜在风险。 Java的`Random`类是一个广泛使用的随机数生成器,它通过当前系统时间作为种子来创建随机序列。理论上,...
【真伪随机数对比】:深入理解Python random与其他库的区别
!...# 1. Python随机数的生成机制 随机数在编程中扮演着至关重要的...在本章节中,我们将探讨Python生成随机数的基本机制,包括Python内置的随机数生成器的工作原理及其在各种应用场合下的使用。 首先,我们来理解Pyt
matlab开发-生成危险信号
08-28
3. **信号生成**:使用MATLAB的随机数生成函数,如`randn`或`rand`,生成符合所选分布的随机序列。 4. **信号处理**:可能包括滤波、添加噪声、调制等操作,以模拟真实世界的复杂性。 5. **可视化**:使用`plot`函数...
Linux随机数发生器
LINSOFT
03-15 6716
Linux随机数发生器 日期:2017-11-29 01:42:10 星期三 Linux随机数发生器 一、源代码的基本情况 Linux内核版本 涉及文件 功能概述 二、外部访问接口 内核层输出接口 用户层输出接口 环境噪音输入接口 三、核心源码分析 随机数发生器理论 熵池结构 熵的加入 随机数的生成 启动脚本 四、回答主要问题 核心代码抽取 初始化漏洞攻击 五、参考...
Random函数的安全性问题与SecureRandom
weixin_30699465的博客
08-12 323
电脑是一种具有确定性的机器, 因此不可能产生真正的随机性。 伪随机数生成器 (PRNG) 近似于随机算法, 始于一个能计算后续数值的种子。PRNG 包括两种类型: 统计学的 PRNG 和密码学的 PRNG。 统计学的 PRNG 提供很多有用的统计属性, 但其输出结果很容易预测, 因此容易复制数值流。 在安全性所依赖的生成值不可预测的情况下, 这种类型并不适用。 密码学的 PRNG 生成的...
Python生成随机数
小小顽童
12-30 1345
random — Generate pseudo-random numbersThis module implements pseudo-random number generators for various distributions.For integers, uniform selection from a range. For sequences, uniform selec
安全随机数!Java 随机数 Random 与 SecureRandom
热门推荐
white_hats的博客
04-18 2万+
安全测试中,项目中遇到随机数问题,如果安全性要求较高,一般使用SecureRandom类产生随机数。 1. Math.random() 静态方法 产生的随机数是 0 - 1 之间的一个 double,即 0 <= random <= 1。使用: for (int i = 0; i < 10; i++) { System.out.println(Math.random(...
Python 伪随机数:random库的使用
小嗷犬的博客
08-20 1415
Python 伪随机数:random库。常用函数:seed,random,randint,getrandbits,randrange,uniform,choice,shuffle,sample。用random库计算圆周率值:蒙特卡罗(Monte Carlo)方法。
用线程安全随机数解决Random在多线程中随机性重复的问题
xulong5000的专栏
10-17 1495
在.NET中,随机数一般是用Random来获取,但是当在多任务的并行化编程时,问题就出现了。 因为Random是基于时间作为种子来生成伪随机数的,而如果程序在多核并行时, 在同一时间内的多个核中取到的时间是一样的,这样一来,生成的伪随机数就有可能会有一样的。 如果业务需求中需要不可重复的随机数,那么这后果将会相当严重, 所以必须采取一种新的方式来获取线程安全的伪随机数。 ...
random函数的随机性
qq_43066250的博客
12-28 858
关于python3.8中随机数——即random扩展的实验 最近因为想要自己生成一个hacker爆破字典所以使用random扩展,此实验验证了random函数的随机性,而不是组合所有情况后会出现各个元素(字符串)只出现一项——即p(n)!=n*(1/n) python.exe D:/いろいろ/py/4randomletters.py 17576 hvj 1 14291 eat Process finished with exit code 0 这是第一次实验返回的结果 python.exe D:/い
Android静态安全检测 -> 随机数使用不安全
4lwin博客
06-04 4064
随机数使用不安全 - SecureRandom类 1. API 继承关系 java.lang.Object java.util.Random java.security.SecureRandom 主要方法 构造方法 SecureRandom(byte[ ] seed) SecureRandom()
最全Android安全检测漏洞解决方案
weixin_40798907的博客
03-09 1万+
前言:APP安全检测通常在一些小型企业涉及的比较少,并且并不太关注这方面的问题。然而在一些大型互联网企业或者国企等等就非常在意这方面的安全问题,并且会有专门的人去对APK进行检测。本节我们一起学习在Android中大量的app漏洞应如何去避免或者修改。 一、基本应用信息 通常包括:应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商、第三方SDK等。 二、安全漏洞检测项 加密算法和密码安全 1 、AES/DES加密算法不安全使用风险 2 、RSA加密算法不安全使用风险 安全防护能力 1、 Z
python使用random生成随机数
04-06
Python中的random模块...可以使用random模块中的函数来生成不同类型和范围的随机数,例如生成整数、浮点数和均匀分布随机数等。这些随机数的生成都是基于随机数种子实现的,因此每次运行程序生成的随机数都是不同的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值