目前,我正在寻找一种方法来提高我的Android应用程序(一款纸牌游戏)中的随机性质量。先前估计,在我的情况下(52!排列),至少需要226位熵(226个随机位)。
我计划将此byte[]用作SecureRandom的种子:
SecureRandom random = new SecureRandom();
random.setSeed(/* insert seed here, byte[] */)
问题是 -- 在Android上,我在哪里可以可靠地获得这么多(至少226位)随机比特,最好不需要任何权限和互联网。此外,它应该能在设备和API级别无关的情况下工作。
在 Java 8 或更高版本中,您可以使用
SecureRandom rand = SecureRandom.getInstanceStrong();
为了在您的平台上获得最强的随机性。如果需要明确指定,可以使用以下代码:
SecureRandom rand = SecureRandom.getInstance("NativePRNGBlocking");
此处使用Linux系统中的/dev/random熵。但如果不可用,则可能无法正常运行。
https://www.synopsys.com/blogs/software-security/proper-use-of-javas-securerandom/
另一种方法是基于用户输入创建随机性,通过对先前事件的System.nanoTime()进行SHA256或更高级的处理。
random.org的字节(需要互联网),我唯一想到的就是用户本身:展示一个空白方块,用户在其中移动手指,指导他们尽可能随机地进行操作,最好持续几秒钟,并使用触摸数据。(我似乎记得我曾经使用过的一个应用程序——TrueCrypt?——就是这样做的。)你甚至可以在他们的人类随机性之上添加一些伪随机性,试图避免人们通过极其精确的可重复运动来操纵系统。
random.org或类似服务。 - T.J. CrowderSecureRandom在 Linux 和很可能是 Android 上使用/dev/random。 - Peter Lawrey