如何处理速度缓慢的SecureRandom生成器？

你可以在Linux上使用以下方式选择更快但略微不太安全的/dev/urandom：

-Djava.security.egd=file:/dev/urandom

然而，这在Java 5及以后的版本中不起作用 (Java Bug 6202721)。建议的解决方法是使用：

-Djava.security.egd=file:/dev/./urandom

（注意额外的/./）

如果你想要真正的随机数据，那么不幸的是你必须等待。这包括SecureRandom PRNG的种子。Uncommon Maths无法比SecureRandom更快地收集真正的随机数据，尽管它可以连接到互联网上从特定网站下载种子数据。我猜这不太可能比那些可用的/dev/random更快。

如果你想要一个PRNG，请按以下方式操作：

SecureRandom.getInstance("SHA1PRNG");

支持的字符串取决于SecureRandom SPI提供程序，但可以使用Security.getProviders()和Provider.getService()来枚举它们。

Sun喜欢SHA1PRNG，因此它广泛可用。相对于其他PRNG，它的速度并不快，但PRNG只是在进行数字计算，而不是通过物理测量熵阻塞。

例外情况是，如果在获取数据之前不调用setSeed()，则PRNG将在第一次调用next()或nextBytes()时自行初始化。通常情况下，它会使用系统中相当少量的真随机数据进行初始化。这个调用可能会阻塞，但它会使您的随机数源比任何变体的“将当前时间哈希在一起，加上27，然后祈求最好”的方法更安全。但是，如果您只需要用于游戏的随机数，或者如果您想要将流在未来使用相同的种子重复以进行测试目的，则不安全的种子仍然有用。

许多Linux发行版（主要是基于Debian的）将OpenJDK配置为使用/dev/random来获取熵。

/dev/random按定义是慢的（甚至可能会阻塞）。

从这里开始，您有两个选择来解除阻塞：

1. 增加熵，或者
2. 减少随机性要求。

选项1，增加熵

为了向/dev/random中输入更多的熵，请尝试使用haveged守护程序。它是一个连续收集HAVEGE熵的守护程序，也适用于虚拟化环境，因为它不需要任何特殊硬件，只需要CPU本身和时钟。

在Ubuntu/Debian上：

apt-get install haveged
update-rc.d haveged defaults
service haveged start

yum install haveged
systemctl enable haveged
systemctl start haveged

选项2. 减少随机性要求

如果由于某种原因上述解决方案无法帮助您或者您不关心密码强度随机性，您可以切换到/dev/urandom，它可以保证不会阻塞。

要在全局范围内执行此操作，请编辑位于默认Java安装中的文件jre/lib/security/java.security，以使用/dev/urandom（由于另一个bug需要指定为/dev/./urandom）

如下所示：

#securerandom.source=file:/dev/random
securerandom.source=file:/dev/./urandom

那么你就永远不需要在命令行上指定它。

注意：如果你从事密码学，你需要具有良好的熵。以案例为例-安卓PRNG问题降低了比特币钱包的安全性。

我曾经遇到过与SecureRandom的调用在无人值守的Debian服务器上每次阻塞约25秒的类似问题。我安装了haveged守护程序来确保/dev/random被保持填充，对于无人值守的服务器，您需要像这样的东西来生成所需的熵。

现在我的SecureRandom调用可能只需几毫秒。

• 在大多数*NIX系统（包括macOS）上
  1. PKCS11（仅适用于Solaris）
  2. NativePRNG
  3. DRBG
  4. SHA1PRNG
  5. NativePRNGBlocking
  6. NativePRNGNonBlocking
• 在Windows系统上
  1. DRBG
  2. SHA1PRNG
  3. Windows-PRNG

由于您询问的是Linux，因此我将忽略Windows实现以及仅在Solaris上真正可用的PKCS11，除非您自己安装了它 - 如果您这样做了，您可能不会问这个问题。

NativePRNG

generateSeed() 使用 /dev/random
nextBytes() 使用 /dev/urandom

NativePRNGBlocking

generateSeed() 和 nextBytes() 都使用 /dev/random

NativePRNGNonBlocking

generateSeed() 和 nextBytes() 都使用 /dev/urandom

DRBG

支持的机制和算法：

• 带有 SHA-224、SHA-512/224、SHA-256、SHA-512/256、SHA-384 和 SHA-512 的 Hash_DRBG 和 HMAC_DRBG。
• 带有 AES-128、AES-192 和 AES-256 的 CTR_DRBG。

SHA1PRNG

初始种子目前是通过系统属性和java.security熵收集设备的组合完成的。

这意味着如果你使用 SecureRandom random = new SecureRandom()，它会按照列表顺序查找可用的算法，通常会选择 NativePRNG。这意味着它从 /dev/random 中获取种子（或者如果你明确生成了种子，则使用该种子），然后使用 /dev/urandom 获取下一个字节、整数、双精度浮点数、布尔值等。

由于 /dev/random 是阻塞的（直到熵池中有足够的熵），这可能会影响性能。

解决这个问题的一种方法是使用类似 haveged 的工具来生成足够的熵，另一种方法是改用 /dev/urandom。虽然你可以为整个 JVM 设置这个选项，但更好的解决方案是针对此特定的 SecureRandom 实例进行设置，即使用 SecureRandom random = SecureRandom.getInstance("NativePRNGNonBlocking")。请注意，如果 NativePRNGNonBlocking 不可用，该方法可能会抛出 NoSuchAlgorithmException 异常，因此要准备好回退到默认值。

SecureRandom random;
try {
    random = SecureRandom.getInstance("NativePRNGNonBlocking");
} catch (NoSuchAlgorithmException nsae) {
    random = new SecureRandom();
}

还要注意，在其他*nix系统上，{{link1：/dev/urandom的行为可能会有所不同}}。

/dev/urandom是否足够随机？

传统智慧认为只有/dev/random足够随机。然而，也有一些声音不同。在"正确使用SecureRandom的方法"和"关于/dev/urandom的神话"中，有人认为/dev/urandom/同样好。

信息安全堆栈上的用户同意这一观点。基本上，如果你需要问，/dev/urandom对你的目的来说是可以的。

我遇到了相同的问题（issue）。经过一些使用正确搜索词汇进行谷歌搜索后，我发现了这篇关于DigitalOcean的好文章。

haveged是一种潜在的解决方案，不会影响安全性。

我仅引用了本文中相关的部分。

基于HAVEGE原理，并且之前基于其相关库，haveged允许生成基于处理器上代码执行时间变化的随机性。由于一个代码片段在同一环境和硬件上执行相同的时间几乎是不可能的，因此运行单个或多个程序的时间应适合用于种子随机源。haveged实现使用循环重复执行后CPU时间戳计数器（TSC）的差异来生成您系统的随机源（通常为/dev/random）

如何安装haveged

按照本文中的步骤进行操作。https://www.digitalocean.com/community/tutorials/how-to-setup-additional-entropy-for-cloud-servers-using-haveged

我在这里发布了它。