OWASP 类别: MASVS-CRYPTO:加密技术
概览
伪随机数生成器 (PRNG) 是一种算法,它根据称为种子的起始值生成可预测的数字序列。PRNG 生成的数字序列具有与真随机数序列近似相同的属性,但生成速度更快,计算成本也更低。
换言之,在熵分布均匀性方面,PRNG 比弱随机数生成器(例如 java.math.Random
)提供了更高的保证,它们可以模拟真随机数序列。真随机数的生成需要专用设备,并且通常超出正常开发的范围。本文档不涵盖真随机数的生成,而仅重点介绍 PRNG,因为它们是当前使用的标准方法。
弱 PRNG 漏洞发生在开发者将普通 PRNG 用于加密目的时,而不是使用密码学安全伪随机数生成器 (CSPRNG)。CSPRNG 有更严格的要求,当种子未知时,它们必须只给攻击者在区分输出序列与实际随机序列方面带来微不足道的优势。
当使用可预测的种子(例如开发者硬编码的种子)来初始化 PRNG 或 CSPRNG 时,攻击者也可能猜出生成的数字序列,因为攻击者可以猜到种子,从而预测 PRNG 生成的输出。
影响
如果在身份验证等安全上下文中使用非密码学安全的 PRNG,攻击者可能猜出随机生成的数字并获得对特权数据或功能的访问权限。
缓解措施
一般
- 当存在安全隐患时,使用
java.security.SecureRandom
- 在任何其他情况下使用
java.util.Random
- 绝不要使用
Math.random
!
java.security.SecureRandom
建议用于安全用途。如果 Linux 内核版本为 5.17+ 或阻塞线程是可接受的,请在生成随机数之前等待足够的熵累积(即使用 /dev/random
)。为此,请调用 getInstanceStrong()
Kotlin
val rand = SecureRandom.getInstanceStrong()
Java
SecureRandom rand = SecureRandom.getInstanceStrong();
否则,在 Linux 内核版本低于 5.17 且在生成随机数时不接受阻塞线程的情况下,应直接调用 SecureRandom
构造函数
Kotlin
import java.security.SecureRandom
object generateRandom {
@JvmStatic
fun main(args: Array<String>) {
// Create instance of SecureRandom class
val rand = SecureRandom()
// Generate random integers in range 0 to 999
val rand_int = rand.nextInt(1000)
// Use rand_int for security & authentication
}
}
Java
import java.security.SecureRandom;
public class generateRandom {
public static void main(String args[])
{
// Create instance of SecureRandom class
SecureRandom rand = new SecureRandom();
// Generate random integers in range 0 to 999
int rand_int = rand.nextInt(1000);
// Use rand_int for security & authentication
}
}
SecureRandom
从 /dev/urandom
获取默认种子,并在构造或获取对象时自动使用,因此无需显式为 PRNG 设置种子。通常不鼓励对 SecureRandom
进行任何确定性使用(特别是如果这导致硬编码种子值,因为任何人反编译应用都可以看到该值)。想要生成可重现的伪随机输出的开发者应使用更合适的原语,例如 HMAC、HKDF 和 SHAKE。
java.util.Random
避免用于安全/身份验证目的,可用于任何其他目的。
Kotlin
import java.util.Random
object generateRandom {
@JvmStatic
fun main(args: Array<String>) {
// Create instance of SecureRandom class
val rand = Random()
// Generate random integers in range 0 to 999
val rand_int = rand.nextInt(1000)
}
}
Java
import java.util.Random;
public class generateRandom {
public static void main(String args[])
{
// Create instance of Random class
Random rand = new Random();
// Generate random integers in range 0 to 999
int rand_int = rand.nextInt(1000);
}
}
资源
java.security.SecureRandom
java.util.Random
Math.random
- 可预测种子 CWE
- 密码学弱 PRNG CWE
- Java Secure Random
- Java Random 与 SecureRandom
- 如何使用 SecureRandom
- Python PRNG 安全指南
- OWASP 加密存储备忘单
- CVE-2013-6386:Drupal 中的弱 PRNG 漏洞
- CVE-2006-3419:Tor 中的弱 PRNG 漏洞
- CVE-2008-4102:Joomla 中的可预测种子
- Linux 内核随机补丁