Java SecureRandom.ints()安全吗?
众所周知,SecureRandom类为生成的随机数提供了强大的加密安全性Java SecureRandom.ints()安全吗?,java,security,random,Java,Security,Random,众所周知,SecureRandom类为生成的随机数提供了强大的加密安全性java.util.Random对于需要加密安全的情况是不安全的。SecureRandom的典型用法是: SecureRandom random = new SecureRandom(); byte bytes[] = new byte[20]; random.nextBytes(bytes); 然而,我遇到了一个案例: SecureRandom random = new SecureRandom(); int numbe
java.util.RandomSecureRandomSecureRandom random = new SecureRandom();
byte bytes[] = new byte[20];
random.nextBytes(bytes);
SecureRandom random = new SecureRandom();
int number = random.ints();
ints()java.util.RandomSecureRandomRandom.ints()IntStreamIntStreamSecureRandomrandomSecureRandom考虑一个类似于HashSet的例子:;然而,
HashSetLinkedHashSetHashSetRandomSecureRandomSecureRandomRandomjava.util.Random的代码检查显示ints()创建一个拆分器,该拆分器使用internalNextInt(…)生成随机整数。依次调用thisnextInt()。在java.security.SecureRandom
的情况下,nextInt()
被重写以生成一个“安全”随机数1
您可以通过查看源代码来确认这一点
1-当然,将整数或整数序列称为“安全”实际上没有意义。在某些情况下,SecureRandom可能没有您所需的属性。(这取决于类使用的实际RNG或PRNG实现、提供的种子或系统提供的熵源的质量等等。)但SecureRandom::ints()将生成一个整数序列,该序列具有与对同一对象进行SecureRandom::nextInt()调用序列相同的属性。如果后一个序列适合您的目的(无论它们是什么),那么前一个序列也是如此。ints方法
是的,它是安全的,只要nextInt()
是安全的(对于从流中检索到的整数数量)
根据报告:
生成一个伪随机int
值,就好像它是调用方法nextInt()
的结果一样
现在依次:
方法nextInt
通过类Random
实现,就像通过(返回)next(32)
next(int)
是一个受保护的方法,您不能调用它,但可以在实现类中重写它
如果使用的是SecureRandom
而不是Random
的实例,则反过来实现为:
生成包含用户指定数量的伪随机位(右对齐,前导零)的整数。此方法重写java.util.Random
方法,并为从该类继承的所有方法提供随机位源(例如,nextInt
,nextLong
和nextFloat
)
因此,最终调用了SecureRandom
方法,如果该方法是安全的,那么随机数流是安全的。老实说,该语句在某种意义上是错误的,因为它不用于nextBytes
,但它肯定用于任何返回数值的方法
安全随机实现
如果您已经确定您使用的SecureRandom
是安全的,那么您可以停止阅读此处
现在您可能会认为它将在这里结束,但是SecureRandom
本身并不实现一个随机位生成器。相反,它只取决于配置的提供程序中实现SecureRandomSpi
的特定服务类(Spi表示服务提供程序接口,抽象类a提供程序必须实现以向SecureRandom
的实例提供安全的随机数据)。因此,最终必须在SecureRandom#next(int)
中调用以检索实际位
正如《随机下一步》(int)