İş SecureRandomparçacığı güvenli mi? Yani, onu başlattıktan sonra, sıradaki rastgele sayıya erişimin iş parçacığı açısından güvenli olduğuna güvenilebilir mi? Kaynak kodun incelenmesi, öyle olduğunu gösteriyor gibi görünüyor ve bu hata raporu , iş parçacığı güvenli olarak dokümantasyon eksikliğinin bir javadoc sorunu olduğunu gösteriyor gibi görünüyor. Aslında iş parçacığı güvenli olduğunu doğrulayan var mı?
Yanıtlar:
Evet öyle. Her Randomzaman fiili bir iş parçacığı güvenli uygulaması olan genişler ve Java 7'den açıkça iş parçacığı güvenliğini garanti eder.
Birçok iş parçacığı tek bir iş parçacığı kullanıyorsa SecureRandom, performansı düşüren çekişme olabilir. Öte yandan, bir SecureRandomörneği başlatmak nispeten yavaş olabilir. Global bir RNG'yi paylaşmanın veya her iş parçacığı için yeni bir tane oluşturmanın en iyisi olup olmadığı, uygulamanıza bağlı olacaktır. ThreadLocalRandomSınıf desteklerin bir çözüm sağlamak için bir model olarak kullanılabilir SecureRandom.
SecureRandomsadece can yavaş, ancak potansiyel nedeniyle eksik entropi asmak
Şu anki uygulaması SecureRandomiş parçacığı açısından güvenlidir, özellikle iki mutasyon yöntemi nextBytes(bytes[])ve setSeed(byte[])senkronize edilmiştir.
Anlayabildiğim kadarıyla, tüm mutasyon yöntemleri sonunda bu iki yöntem üzerinden yönlendirilir ve bunu sağlamak SecureRandomiçin birkaç yöntemi geçersiz kılar Random. İşe yarayan ancak gelecekte uygulama değiştirilirse kırılgan olabilir.
En iyi çözüm, önce SecureRandomörnek üzerinde manuel olarak senkronize etmektir . Bu, her çağrı yığınının aynı nesne üzerinde iki kilit alacağı anlamına gelir, ancak bu genellikle modern JVM'lerde çok ucuzdur. Yani, kendinizi açıkça senkronize etmenin pek bir zararı yoktur. Örneğin:
SecureRandom rnd = ...;
byte[] b = new byte[NRANDOM_BYTES];
synchronized (rnd) {
rnd.nextBytes(b);
}java.security.SecureRandom#nextBytesJava 8'de senkronize edilmemiştir. Senkronize edilmiş bir Java sürümü bulduğunuzu belirtebilir misiniz #nextBytes?