为什么要使用 C# 类 System.Random 而不是 System.Security.Cryptography.RandomNumberGenerator？

Question

为什么有人会使用来自System.Random 的“标准”随机数生成器，而不是总是使用来自System.Security.Cryptography.RandomNumberGenerator（或其子类，因为 RandomNumberGenerator 是抽象的）的加密安全随机数生成器？

Nate Lawson 在 13:11 分钟的 Google Tech Talk 演讲“Crypto Strikes Back”中告诉我们不要使用 Python、Java 和 C# 的“标准”随机数生成器，而是使用加密安全版本。

我知道两个版本的随机数生成器之间的区别（请参阅question 101337）。

但是不总是使用安全随机数生成器的理由是什么？为什么要使用 System.Random 呢？也许是性能？

Answer 1

速度和意图。如果您正在生成一个随机数并且不需要安全性，为什么要使用慢速加密功能？您不需要安全性，那么为什么要让其他人认为该号码可能用于安全的事情，而事实并非如此呢？

Answer 2

除了速度和更有用的界面（NextDouble() 等）之外，还可以通过使用固定的种子值来制作可重复的随机序列。这在测试期间非常有用。

Random gen1 = new Random();     // auto seeded by the clock
Random gen2 = new Random(0);    // Next(10) always yields 7,8,7,5,2,....

Answer 3

首先，您链接的演示文稿仅讨论了出于安全目的的随机数。所以它并没有声称Random 对非安全目的不利。

但我确实声称它是。 Random 的 .net 4 实现在几个方面存在缺陷。我建议仅在您不关心随机数的质量时才使用它。我建议使用更好的第三方实现。

缺陷 1：播种

带有当前时间的默认构造函数种子。因此，在短时间内（大约 10 毫秒）使用默认构造函数创建的所有 Random 实例都返回相同的序列。这是记录和“设计”的。如果您想对代码进行多线程处理，这尤其令人讨厌，因为您不能简单地在每个线程执行开始时创建 Random 的实例。

解决方法是在使用默认构造函数时要格外小心，并在必要时手动设置种子。

这里的另一个问题是种子空间相当小（31 位）。因此，如果您使用完全随机的种子生成 50k 个Random 实例，您可能会两次获得一个随机数序列（由于birthday paradox）。所以人工播种也不容易做好。

缺陷二：Next(int maxValue)返回的随机数分布有偏差

Next(int maxValue) 的某些参数显然不统一。例如，如果您计算 r.Next(1431655765) % 2，您将在大约 2/3 的样本中得到 0。 （答案末尾的示例代码。）

缺陷 3：NextBytes() 方法效率低。

NextBytes() 的每字节成本大约与使用Next() 生成完整整数样本的成本一样大。由此我怀疑他们确实每个字节创建一个样本。

在每个样本中使用 3 个字节的更好实现将使 NextBytes() 的速度提高近 3 倍。

由于这个缺陷，Random.NextBytes() 在我的机器（Win7，Core i3 2600MHz）上仅比System.Security.Cryptography.RNGCryptoServiceProvider.GetBytes 快约 25%。

我敢肯定，如果有人检查了源代码/反编译的字节码，他们会发现比我在黑盒分析中发现的更多的缺陷。

---

代码示例

r.Next(0x55555555) % 2 有强烈的偏见：

Random r = new Random();
const int mod = 2;
int[] hist = new int[mod];
for(int i = 0; i < 10000000; i++)
{
    int num = r.Next(0x55555555);
    int num2 = num % 2;
    hist[num2]++;
}
for(int i=0;i<mod;i++)
    Console.WriteLine(hist[i]);

性能：

byte[] bytes=new byte[8*1024];
var cr=new System.Security.Cryptography.RNGCryptoServiceProvider();
Random r=new Random();

// Random.NextBytes
for(int i=0;i<100000;i++)
{
    r.NextBytes(bytes);
}

//One sample per byte
for(int i=0;i<100000;i++)
{   
    for(int j=0;j<bytes.Length;j++)
      bytes[j]=(byte)r.Next();
}

//One sample per 3 bytes
for(int i=0;i<100000;i++)
{
    for(int j=0;j+2<bytes.Length;j+=3)
    {
        int num=r.Next();
        bytes[j+2]=(byte)(num>>16);   
        bytes[j+1]=(byte)(num>>8);
        bytes[j]=(byte)num;
    }
    //Yes I know I'm not handling the last few bytes, but that won't have a noticeable impact on performance
}

//Crypto
for(int i=0;i<100000;i++)
{
    cr.GetBytes(bytes);
}

Answer 4

System.Random 的性能要高得多，因为它不会生成加密安全的随机数。

在我的机器上进行一个简单的测试，用随机数据填充 4 字节的缓冲区 1,000,000 次 Random 需要 49 毫秒，而 RNGCryptoServiceProvider 需要 2845 毫秒。请注意，如果您增加要填充的缓冲区的大小，则差异会缩小，因为 RNGCryptoServiceProvider 的开销不太相关。

Answer 5

已经提到了最明显的原因，所以这里有一个更模糊的原因：加密 PRNG 通常需要不断地重新植入“真实”熵。因此，如果您过于频繁地使用 CPRNG，您可能会耗尽系统的熵池，这（取决于 CPRNG 的实现）会削弱它（从而允许攻击者预测它）或者它会在尝试填满时阻塞它的熵池（因此成为 DoS 攻击的攻击向量）。

无论哪种方式，您的应用程序现在已成为其他完全不相关的应用程序的攻击媒介 - 与您的应用程序不同 - 实际上非常依赖于 CPRNG 的加密属性。

这是一个实际存在的问题，顺便说一句，已在运行 Linux 的无头服务器（由于缺少鼠标和键盘输入等熵源而自然具有相当小的熵池）上观察到，其中应用程序错误地使用了 @987654322 @kernel CPRNG 用于各种随机数，而正确的行为是从 /dev/urandom 读取一个小的种子值并使用它来播种他们的自己的 PRNG。

Answer 6

如果您正在编写在线纸牌游戏或彩票，那么您需要确保序列几乎无法猜测。但是，如果您要向用户展示当天的报价，则性能比安全更重要。

Answer 7

这个问题已经讨论了很长时间，但归根结底，性能问题是选择 RNG 时的次要考虑因素。那里有大量的 RNG，大多数系统 RNG 所包含的罐装 Lehmer LCG 并不是最好的，甚至不一定是最快的。在旧的、缓慢的系统上，这是一个很好的折衷方案。如今，这种妥协很少真正相关。这个东西一直存在到今天的系统中，主要是因为 A) 这个东西已经建成了，在这种情况下没有真正的理由去“重新发明轮子”，而且 B) 对于绝大多数人将使用它的目的，它是'足够好'。

最终，RNG 的选择取决于风险/回报率。在某些应用中，例如视频游戏，没有任何风险。 Lehmer RNG 绰绰有余，而且小巧、简洁、快速、易于理解且“在盒子中”。

例如，如果应用程序是在线扑克游戏或彩票，其中涉及实际奖品并且真钱在等式中的某个点发挥作用，那么“盒子里”的 Lehmer 就不再足够了。在 32 位版本中，它只有 2^32 个可能的有效状态才开始循环充其量。如今，这为暴力攻击打开了大门。在这种情况下，开发人员会希望使用某些物种的Very Long Period RNG，并可能从密码学强大的提供者那里播种。这在速度和安全性之间提供了很好的折衷。在这种情况下，人们会寻找类似 Mersenne Twister 或某种多重递归生成器 之类的东西。

如果应用程序类似于通过网络传递大量财务信息，那么现在存在巨大的风险，并且远远超过任何可能的回报。仍然有装甲车，因为有时全副武装的人是唯一足够的安全保障，相信我，如果一个拥有坦克、战斗机和直升机的特种部队旅在经济上是可行的，那将是首选方法。在这种情况下，使用加密强的 RNG 是有意义的，因为无论您获得何种级别的安全性，它都达不到您想要的程度。所以你会尽可能多地拿走，而成本是一个非常非常遥远的次要问题，无论是时间还是金钱。如果这意味着在一台非常强大的计算机上生成每个随机序列需要 3 秒，那么您将等待 3 秒，因为在事情的计划中，这是一个微不足道的成本。

Answer 8

请注意，C# 中的 System.Random 类编码不正确，因此应避免使用。

https://connect.microsoft.com/VisualStudio/feedback/details/634761/system-random-serious-bug#tabs

Answer 9

不是每个人都需要加密安全的随机数，他们可能会从更快的纯 prng 中受益更多。也许更重要的是您可以控制 System.Random 数字的序列。

在使用您可能想要重新创建的随机数的模拟中，您使用相同的种子重新运行模拟。当您还想重新生成给定的错误场景时，它可以很方便地跟踪错误 - 使用与程序崩溃完全相同的随机数序列运行您的程序。

Answer 10

Random 不是随机数生成器，它是确定性伪随机序列生成器，因历史原因而得名。

使用System.Random 的原因是如果你想要这些属性，即确定性序列，它保证在使用相同种子初始化时产生相同的结果序列。

如果你想在不牺牲接口的情况下提高“随机性”，你可以从System.Random继承覆盖几个方法。

• https://msdn.microsoft.com/en-us/library/system.random.sample(v=vs.110).aspx

为什么需要确定性序列

具有确定性序列而不是真正随机性的一个原因是因为它是可重复的。

例如，如果您正在运行数值模拟，您可以使用（真）随机数初始化序列，并记录使用的数字。

然后，如果您希望重复 完全相同 模拟，例如出于调试目的，您可以改为使用 recorded 值初始化序列。

你为什么要这个特别的，不是很好的序列

我能想到的唯一原因是为了向后兼容使用此类的现有代码。

简而言之，如果您想在不更改其余代码的情况下改进序列，请继续。

Answer 11

如果我不需要安全性，即我只想要一个相对不确定的值而不是一个加密强度高的值，那么 Random 具有更易于使用的界面。

Answer 12

不同的需求需要不同的 RNG。对于加密，您希望您的随机数尽可能随机。对于 Monte Carlo 模拟，您希望它们均匀地填充空间并能够从已知状态启动 RNG。

Answer 13

我编写了一个游戏（iPhone 上的水晶滑块：Here），它会在地图上放置“随机”系列的宝石（图像），您可以按照自己的意愿旋转地图并选择它们离开了。 - 类似于宝石迷阵。我使用的是 Random()，它以自手机启动后 100ns 滴答数为种子，是一个非常随机的种子。

我发现它令人惊奇它会生成几乎相同的游戏 - 在 90 种左右的宝石中，有 2 种颜色，我会得到两个完全相同的游戏，除了 1 到 3宝石！如果你掷 90 枚硬币，除了 1-3 次以外，得到相同的图案，那是极不可能的！我有几个屏幕截图显示它们相同。我对 System.Random() 的糟糕程度感到震惊！我假设，我一定在我的代码中写了一些可怕的错误并且使用错误。不过我错了，是生成器。

作为一个实验——也是最终的解决方案，我回到了我从 1985 年左右开始使用的随机数生成器——这要好得多。它更快，在重复之前有 1.3 * 10^154 (2^521) 的周期。最初的算法是用 16 位数字播种的，但我将其更改为 32 位数字，并改进了初始播种。

原文在这里：

ftp://ftp.grnet.gr/pub/lang/algorithms/c/jpl-c/random.c

多年来，我已经完成了所有我能想到的随机数测试，而且都超过了所有这些。我不希望它作为加密货币具有任何价值，但它返回的数字与“return *p++;”一样快直到它用完 521 位，然后它在这些位上运行一个快速过程以创建新的随机位。

我创建了一个 C# 包装器 - 称为 JPLRandom() 实现了与 Random() 相同的接口，并更改了我在代码中调用它的所有位置。

差异要好得多 - 天哪，我很惊讶 - 我应该无法从 90 颗左右的宝石屏幕上分辨出来，但在此之后我紧急发布了我的游戏。

而且我再也不会使用 System.Random() 来做任何事情了。我很震惊他们的版本被现在 30 岁的东西所震撼！

-Traderhut 游戏