RandomNumberGenerator vs RNGCryptoServiceProvider

Laut MSDN-Dokumentation für RandomNumberGenerator:

Anwendung code nicht direkt verwenden Sie diese Klasse. Diese abstrakte Klasse wird als Basisklasse für alle kryptografischen Zufallszahlengeneratoren.

Für eine Implementierung des cryptographic random number generator, verwenden Sie die abgeleitete Klasse RNGCryptoServiceProvider.

Aber ich habe den folgenden code verwendet, auf ein paar Gelegenheiten in unterschiedlichen code-Basen:

byte[] bytes = new byte[...];
RandomNumberGenerator rng = RandomNumberGenerator.Create();
rng.GetBytes(bytes);

Insbesondere mit StackExchange (was ich davon ausgehen, enthält SO) und auch mit BCrypt.Net.

Daher bin ich ein wenig verwirrt - welche Art von RandomNumberGenerator ist der obige code wird zurückgeben? Auch ist es ein bisschen ein Manko, dass einige code-Basen sind Verwendung RandomNumberGenerator eher als RNGCryptoServiceProvider?

Ich gehe davon aus RandomNumberGenerator.Create() tut unter der Haube, die ich bin völlig hier fehlt, ist aber technisch (wie es eine abstrakte Klasse) sollte nicht mit dem obigen code einen Fehler auslösen?

InformationsquelleAutor James | 2012-09-08
  1. 18

    Den RandomNumberGenerator.Create() Methodenaufrufe RandomNumberGenerator.Create("System.Security.Cryptography.RandomNumberGenerator"), die schließlich erstellen Sie eine Instanz der RNGCryptoServiceProvider.

    (Es hat einige lookups in ein paar Wörterbücher, so ist es wahrscheinlich, dass Sie können ändern das Verhalten der call-by-Registrierung ein Standard-random-generator geliefert).

    Dem tatsächlichen Typ des Objekts zurückgegeben wird zur Kompilierzeit nicht bekannt, es ist nur bekannt, dass es Erben die RandomNumberGenerator Klasse, so können Sie eine RandomNumberGenerator Referenzvariable für Sie.

    Diese Art der Erstellung von verschiedenen Arten von Instanzen je nach dem Eingang ist in ein paar stellen in dem Rahmen, zum Beispiel durch die WebRequest.Create Methode.

    Jemand bei Micrsoft hat "Feste" die aktuelle Dokumentation (framework 4.5) für die Create() Methode. Jetzt heißt es:

    "Beim überschreiben in einer abgeleiteten Klasse erstellt eine Instanz der
    Standard-Implementierung eines kryptografischen Zufallszahlengenerator,
    kann verwendet werden, um zufällige Daten erzeugt."

    In der Dokumentation für das framework 4.0 sagt:

    "Erstellt eine Instanz der Standard-Implementierung eines kryptografischen
    random number generator kann verwendet werden, um zufällige Daten erzeugt."

    Dies ist die richtige Beschreibung, was die Methode tut. Ich werde in einen Antrag zu stellen, dass die Beschreibung zurück, die in den neueren Unterlagen.

    • ", die schließlich erstellen Sie eine Instanz der RNGCryptoServiceProvider" - Was ist das Kriterien dafür obwohl? Warum nicht AesCryptoServiceProvider/SHA512/DAS etc. speziell? Ist es nur der gleiche Ansatz mit RNGCryptoServiceProvider dass RandomNumberGenerator d.h. nicht, dass intern entscheiden, welcher Algorithmus benutzt es unter der Haube?
    • Naja, im Grunde ist es, weil das der einzige random number generator ist standardmäßig implementiert (siehe die Vererbungshierarchie msdn.microsoft.com/en-us/library/42ks8fz1). AesCryptuServiceProvider ist ein Verschlüsselungs-Algorithmus, der nicht einem random number generator. Der random number generator ist nicht spezifisch für die verschiedenen Verschlüsselungs-algorithmen. Der einzige Grund, um es möglich zu registrieren, einen anderen generator, ist, dass jemand finden könnte, dass die aktuelle Umsetzung nicht produzieren, die gut genug Zufallszahlen.
    • D ' Oh, das war mein Fehler, vorausgesetzt, alle CryptoServiceProvider's RNG' s! So realistisch es nur eine Implementierung des RNG-Teil des Frameworks und es ist RNGCryptoServiceProvider daher ist es egal welche ich verwende?
    • Mit dem, was derzeit bekannt ist, wird der Standard-RNG ist die beste option. die RNGCryptoServiceProvider ersetzt werden kann durch eine andere Implementierung, die in Zukunft Rahmenbedingungen, und dann die Create() Methode zurück, dass statt. Wenn die RNGCryptoServiceProvider gefunden wird, der zu schwach ist, Sie möglicherweise erstellen möchten, die einem bestimmten Anbieter statt, aber es gibt nichts, was Sie dagegen tun können, dass jetzt, so mit der Create() Methode ist die zukunftssichere Lösung.
    • danke das es geklärt für mich.
    InformationsquelleAutor Guffa
  2. 3

    In der Dokumentation für RandomNumberGenerator ist im Grunde versaut. Als weiteres Beispiel gibt es in der Dokumentation so:

    Beim überschreiben in einer abgeleiteten Klasse erstellt eine Instanz der angegebenen Implementierung des cryptographic random number generator.

    ... für eine statische Methode. Statische Methoden nicht überschrieben werden. Wer schrieb die Dokumentation war eindeutig nicht mehr klar denken.

    Ich vermute, die ursprüngliche Absicht war, so etwas wie:

    Anwendung code nicht direkt instanziieren dieser Klasse. Diese abstrakte Klasse wird als Basisklasse für alle kryptografischen Zufallszahlengeneratoren.

    Ich denke, der code du gepostet hast (mit der statischen Create - Methode) ist ganz vernünftig. Es ist die gleiche Art von Muster, da ist für XmlReader.Create etc - die statische Methode wählt die am besten geeignete Umsetzung.

    • "die statische Methode wählt die am besten geeignete Implementierung" - es ist ein bisschen frustrierend, dass es keine Unterlagen über die Kriterien, für welche version ist die entsprechende obwohl.
    InformationsquelleAutor Jon Skeet
  3. 1

    RandomNumberGenerator.Create ist eine statische factory-Methode. Sicherlich wird es wieder ein Instanzen einer abgeleitet Klasse. Und das ist nicht Abstrakt das ist alles legal.

    Abstrakte Klassen sind gemacht überall verwendet werden, anstatt eine konkrete Klasse. Sie sind gedacht, um eine Versionierung-freundliche Schnittstelle.

    • "Sicherlich wird es wieder eine Instanz von einer abgeleiteten Klasse" - ich könnte mir vorstellen, es ist, es ist jedoch nicht klar aus der Dokumentation, welche version es wird zurückkehren.
    • Der tatsächliche Typ zurückgegeben variieren kann. Sie knnen es im web.config (nicht die Referenz zur hand, aber sowohl meine Erinnerung und Reflektor sagen, dass dies der Fall ist). Es gibt keine Garantien für die Rückkehr geben. Läuft die konkrete Art Materie für Sie?
    • "ist der konkrete Typ Materie für Sie" - Für was verwende ich es für nicht wahrscheinlich, da alle ich brauche ist für Sie zu generieren, eine sichere Zufallszahlen. Aber ich war neugierig, warum Sie in der Dokumentation zitierte Sachen wie "Application code nicht direkt diese Klasse verwenden", wenn es eindeutig nicht der Fall. Aus den Antworten scheint es, dass es ein bug in der Dokumentation.
    • Ich bin damit einverstanden. Es ist eine Dokumentation Fehler.
    • Nur um zu verdeutlichen Ihren Standpunkt, der Dokumentation geben Sie "Sie können nicht erstellen Sie eine Instanz einer abstrakten Klasse. Anwendung code erstellt eine neue Instanz von einer abgeleiteten Klasse.". Aber meine Frage wurde geführt, mehr in Richtung, was type abgeleitete Klasse es schaffen würde.
    InformationsquelleAutor usr
Schreibe einen Kommentar