UUID มีความโดดเด่นอย่างไร

ปลอดภัยแค่ไหนที่จะใช้ UUID เพื่อระบุสิ่งที่ไม่ซ้ำกัน (ฉันใช้มันสำหรับไฟล์ที่อัปโหลดไปยังเซิร์ฟเวอร์) ตามที่ฉันเข้าใจมันเป็นไปตามตัวเลขสุ่ม อย่างไรก็ตามสำหรับฉันแล้วมันมีเวลามากพอที่จะทำซ้ำตัวเองในที่สุดโดยโอกาสที่บริสุทธิ์ มีระบบที่ดีขึ้นหรือมีรูปแบบบางประเภทที่ช่วยบรรเทาปัญหานี้หรือไม่?

ปลอดภัยมาก:

ความเสี่ยงต่อปีของบุคคลที่ได้รับอุกกาบาตถูกประเมินว่าเป็นโอกาสครั้งเดียวใน 17 พันล้านซึ่งหมายความว่ามีความน่าจะเป็นประมาณ 0.00000000006 (6 × 10 ^-11 ) เทียบเท่ากับอัตราต่อรองของการสร้าง UUID ในหนึ่งปีและมีหนึ่งสำเนา กล่าวอีกนัยหนึ่งหลังจากสร้าง 1 พันล้าน UUID ทุก ๆ วินาทีในอีก 100 ปีข้างหน้าความน่าจะเป็นที่จะสร้างซ้ำเพียงครั้งเดียวจะอยู่ที่ประมาณ 50%

ข้อแม้:

อย่างไรก็ตามความน่าจะเป็นเหล่านี้จะเกิดขึ้นก็ต่อเมื่อมีการสร้าง UUID โดยใช้เอนโทรปีที่เพียงพอ มิฉะนั้นความน่าจะเป็นที่ซ้ำซ้อนอาจสูงขึ้นอย่างมีนัยสำคัญเนื่องจากการกระจายทางสถิติอาจต่ำกว่า ในกรณีที่จำเป็นต้องใช้ตัวระบุที่ไม่ซ้ำกันสำหรับแอปพลิเคชั่นแบบกระจายดังนั้น UUID จึงไม่ขัดแย้งกันแม้เมื่อรวมข้อมูลจากอุปกรณ์ต่าง ๆ การสุ่มของเมล็ดและเครื่องกำเนิดไฟฟ้าที่ใช้บนอุปกรณ์ทุกชิ้นจะต้องเชื่อถือได้ตลอดอายุการใช้งาน ในกรณีที่ไม่สามารถทำได้ RFC4122 แนะนำให้ใช้ตัวแปรเนมสเปซแทน

แหล่งที่มา: ความน่าจะเป็น UUID แบบสุ่มของส่วนที่ซ้ำกันของบทความ Wikipedia เกี่ยวกับตัวระบุที่ไม่ซ้ำแบบสากล (ลิงก์นำไปสู่การแก้ไขตั้งแต่เดือนธันวาคม 2559 ก่อนที่จะทำการแก้ไขส่วนนั้น)

ยังเห็นส่วนปัจจุบันในเรื่องเดียวกันในบทความระบุเฉพาะสากลเดียวกันชน

ถ้าโดย "ให้เวลามากพอ" คุณหมายถึง 100 ปีและคุณสร้างมันด้วยอัตราพันล้านต่อวินาทีใช่คุณมีโอกาส 50% ที่จะมีการปะทะกันหลังจาก 100 ปี

มี UUID มากกว่าหนึ่งประเภทดังนั้น "วิธีที่ปลอดภัย" ขึ้นอยู่กับประเภท (ซึ่งข้อมูลจำเพาะ UUID เรียกว่า "รุ่น") ที่คุณใช้งานอยู่

• เวอร์ชัน 1 คือเวลาตามที่รวมกับที่อยู่ MAC UUID 128 บิตมี 48 บิตสำหรับที่อยู่ MAC ของการ์ดเครือข่าย (ซึ่งได้รับมอบหมายจากผู้ผลิตอย่างไม่ซ้ำกัน) และนาฬิกา 60 บิตที่มีความละเอียด 100 นาโนวินาที นาฬิกานั่นล้อมรอบใน 3603 ADดังนั้น UUID เหล่านี้จะปลอดภัยอย่างน้อยก็จนกว่า (เว้นแต่คุณต้องการ UUID ใหม่มากกว่า 10 ล้านต่อวินาทีหรือมีคนโคลนการ์ดเครือข่ายของคุณ) ฉันพูดว่า "อย่างน้อย" เพราะนาฬิกาเริ่มต้นเมื่อวันที่ 15 ตุลาคม ค.ศ. 1582 ดังนั้นคุณมีเวลาประมาณ 400 ปีหลังจากที่นาฬิกาปิดล้อมก่อนที่จะมีความซ้ำซ้อนเล็กน้อย

• เวอร์ชัน 4 คือหมายเลขสุ่ม UUID มีหกบิตคงที่และส่วนที่เหลือของ UUID คือ 122 บิตของการสุ่ม ดูวิกิพีเดียหรือการวิเคราะห์อื่น ๆ ที่อธิบายว่ามีความซ้ำซ้อนมากน้อยเพียงใด

• เวอร์ชัน 3 ใช้ MD5 และเวอร์ชัน 5 ใช้ SHA-1 เพื่อสร้าง 122 บิตเหล่านั้นแทนตัวสร้างตัวเลขสุ่มหรือหลอกเทียม ดังนั้นในแง่ของความปลอดภัยมันก็เหมือนกับเวอร์ชั่น 4 ที่เป็นประเด็นทางสถิติ (ตราบใดที่คุณตรวจสอบให้แน่ใจว่าอัลกอริธึมการย่อยนั้นกำลังประมวลผลที่ไม่ซ้ำกันอยู่เสมอ)

• เวอร์ชัน 2 นั้นคล้ายคลึงกับเวอร์ชัน 1 แต่ด้วยนาฬิกาขนาดเล็กกว่า แต่เนื่องจาก UUID เวอร์ชัน 2 นั้นใช้สำหรับ DCE คุณไม่ควรใช้สิ่งเหล่านี้

ดังนั้นสำหรับปัญหาในทางปฏิบัติทั้งหมดพวกเขาจะปลอดภัย หากคุณรู้สึกไม่สบายใจที่จะทิ้งความเป็นไปได้ที่จะเกิดขึ้น (เช่นคุณเป็นคนที่กังวลเกี่ยวกับโลกที่ถูกทำลายโดยดาวเคราะห์น้อยขนาดใหญ่ในชีวิตของคุณ) เพียงแค่ให้แน่ใจว่าคุณใช้เวอร์ชั่น 1 UUID และรับประกันว่าจะไม่ซ้ำกัน ในชีวิตของคุณเว้นแต่ว่าคุณวางแผนที่จะมีชีวิตอยู่ในช่วง 3603 AD)

เหตุใดทุกคนจึงไม่ใช้เพียง UUID เวอร์ชัน 1 นั่นเป็นเพราะ UUID เวอร์ชัน 1 เปิดเผยที่อยู่ MAC ของเครื่องที่สร้างขึ้นและพวกเขาสามารถคาดเดาได้ - สองสิ่งที่อาจมีผลกระทบด้านความปลอดภัยสำหรับแอปพลิเคชันที่ใช้ UUID เหล่านั้น

คำตอบนี้อาจขึ้นอยู่กับรุ่น UUID เป็นส่วนใหญ่

เครื่องกำเนิดไฟฟ้า UUID จำนวนมากใช้หมายเลขสุ่มรุ่น 4 อย่างไรก็ตามสิ่งเหล่านี้ใช้ Pseudo เป็น Random Number Generator เพื่อสร้าง

ถ้า PRNG ที่มีคุณภาพต่ำซึ่งมีช่วงเวลาน้อยถูกใช้เพื่อสร้าง UUID ฉันจะบอกว่ามันไม่ปลอดภัยเลย

ดังนั้นมันจึงปลอดภัยพอ ๆ กับอัลกอริธึมที่ใช้ในการสร้างมัน

ในทางกลับกันถ้าคุณรู้คำตอบสำหรับคำถามเหล่านี้แล้วฉันคิดว่ารุ่น 4 uuid ควรจะปลอดภัยมากที่จะใช้ ในความเป็นจริงฉันใช้มันเพื่อระบุบล็อกในระบบไฟล์เครือข่ายบล็อกและจนถึงขณะนี้ยังไม่มีการปะทะกัน

ในกรณีของฉัน PRNG ที่ฉันใช้คือ twers mersenne และฉันระมัดระวังในการเพาะเมล็ดซึ่งมาจากหลายแหล่งรวมถึง / dev / urandom Mersenne twister มีระยะเวลา 2 ^ 19937 - 1 มันจะเป็นเวลานานมากก่อนที่ฉันจะเห็น uuid ซ้ำ

ข้อความจากWikipedia :

ดังนั้นทุกคนสามารถสร้าง UUID และใช้มันเพื่อระบุบางสิ่งด้วยความมั่นใจอย่างสมเหตุสมผลว่าตัวระบุจะไม่ถูกใช้โดยไม่ได้ตั้งใจโดยใครก็ตามเพื่อสิ่งอื่นใด

อธิบายรายละเอียดที่ดีเกี่ยวกับความปลอดภัยของมัน ดังนั้นเพื่อตอบคำถามของคุณ: ใช่มันปลอดภัยเพียงพอ

ฉันเห็นด้วยกับคำตอบอื่น ๆ UUID นั้นปลอดภัยเพียงพอสำหรับการใช้งานจริงเกือบทั้งหมด¹และแน่นอนสำหรับคุณ

แต่สมมติว่าพวกเขาไม่ใช่

มีระบบที่ดีขึ้นหรือมีรูปแบบบางประเภทที่ช่วยบรรเทาปัญหานี้หรือไม่?

นี่คือแนวทางสองสามข้อ:

1. ใช้ UUID ที่ใหญ่กว่า ตัวอย่างเช่นแทนที่จะเป็นบิตสุ่ม 128 บิตให้ใช้ 256 หรือ 512 หรือ ... แต่ละบิตที่คุณเพิ่มลงใน UUID ของสไตล์ -4 จะลดความน่าจะเป็นของการชนโดยครึ่งหนึ่งโดยสมมติว่าคุณมีแหล่งเอนโทรปี^{2 ที่}เชื่อถือได้.

2. สร้างบริการส่วนกลางหรือกระจายที่สร้าง UUID และบันทึกแต่ละรายการที่เคยออกมา ทุกครั้งที่มันสร้างใหม่มันจะตรวจสอบว่า UUID ไม่เคยออกมาก่อน บริการดังกล่าวจะเป็นเทคนิคในการดำเนินการตรงไปตรงมา (ฉันคิดว่า) ถ้าเราสันนิษฐานว่าคนที่ใช้บริการมีความน่าเชื่อถืออย่างแน่นอนไม่เน่าเปื่อยและอื่น ๆ น่าเสียดายที่พวกเขาไม่ได้ ... โดยเฉพาะอย่างยิ่งเมื่อมีความเป็นไปได้ที่องค์กรความมั่นคงของรัฐบาลจะเข้าไปแทรกแซง ดังนั้นวิธีนี้อาจเป็นไปไม่ได้และอาจเป็นไปไม่ได้³ในโลกแห่งความจริง

^{1 - หากเอกลักษณ์ของ UUID กำหนดว่าขีปนาวุธนิวเคลียร์ได้เปิดตัวในเมืองหลวงของประเทศของคุณหรือไม่เพื่อนร่วมชาติของคุณจำนวนมากจะไม่เชื่อโดย "ความน่าจะเป็นนั้นต่ำมาก" ดังนั้นคุณสมบัติ "เกือบทั้งหมด" ของฉัน}

^{2 - และนี่คือคำถามเชิงปรัชญาสำหรับคุณ มีอะไรที่เคยสุ่มอย่างแท้จริง? เราจะรู้ได้อย่างไรว่ามันไม่? จักรวาลเป็นที่เรารู้ว่ามันเป็นแบบจำลองหรือไม่? มีพระเจ้าที่อาจ "ปรับแต่ง" กฎของฟิสิกส์เพื่อเปลี่ยนแปลงผลลัพธ์หรือไม่?}

^{3 - ถ้าใครรู้บทความวิจัยเกี่ยวกับปัญหานี้โปรดแสดงความคิดเห็น}

แบบแผน UUID โดยทั่วไปจะใช้ไม่เพียง แต่องค์ประกอบแบบหลอกเทียมเท่านั้น แต่ยังใช้เวลาของระบบในปัจจุบันและรหัสฮาร์ดแวร์ที่ไม่ซ้ำใครบางประเภทหากมีเช่นเครือข่าย MAC address

จุดทั้งหมดของการใช้ UUID คือคุณเชื่อมั่นว่าจะทำงานได้ดีขึ้นในการจัดหา ID ที่ไม่ซ้ำกันกว่าตัวคุณเองจะสามารถทำได้ นี่เป็นเหตุผลเดียวกันกับที่ใช้ห้องสมุดการเข้ารหัสของบุคคลที่สามมากกว่าที่จะนำมาใช้เอง การทำด้วยตัวเองอาจสนุกกว่า แต่โดยทั่วไปแล้วคุณจะไม่รับผิดชอบ

เคยทำมาหลายปีแล้ว ไม่พบปัญหา

ฉันมักจะตั้งค่าฐานข้อมูลของฉันให้มีหนึ่งตารางที่มีปุ่มทั้งหมดและวันที่แก้ไขและเช่นนั้น ยังไม่พบปัญหากับคีย์ซ้ำกันเลยทีเดียว

ข้อเสียเปรียบเพียงอย่างเดียวที่มีก็คือตอนที่คุณเขียนแบบสอบถามเพื่อค้นหาข้อมูลบางอย่างรวดเร็วคุณกำลังคัดลอกและวางกุญแจจำนวนมาก คุณไม่มีรหัสย่อที่จดจำได้ง่ายอีกต่อไป

นี่คือตัวอย่างการทดสอบสำหรับคุณในการทดสอบว่ามันไม่ซ้ำกัน แรงบันดาลใจจากความคิดเห็นของ @ scalabl3

สิ่งที่ตลกคือคุณสามารถสร้าง 2 ในแถวที่เหมือนกันแน่นอนในระดับที่ไม่น่าเชื่อว่าจะเกิดขึ้นโชคและการแทรกแซงจากสวรรค์ : D ใช่มันจะไม่เกิดขึ้น เพียงแค่พูดเพื่อความสนุกในการคิดเกี่ยวกับช่วงเวลานั้นเมื่อคุณสร้างสำเนา! วิดีโอหน้าจอ! - scalabl3 20 ต.ค. 58 ที่ 19:11

หากคุณรู้สึกว่าโชคดีให้ทำเครื่องหมายในช่องทำเครื่องหมายมันจะตรวจสอบ ID ที่สร้างขึ้นในปัจจุบันเท่านั้น หากคุณต้องการตรวจสอบประวัติปล่อยให้มันไม่ถูกตรวจสอบ โปรดทราบว่าคุณอาจหมด RAM ในบางช่วงหากคุณไม่ได้เลือก ฉันพยายามทำให้มันเป็นมิตรกับ cpu ดังนั้นคุณสามารถยกเลิกได้อย่างรวดเร็วเมื่อจำเป็นเพียงกดปุ่มเรียกใช้อีกครั้งหรือออกจากหน้า

Math.log2 = Math.log2 || function(n){ return Math.log(n) / Math.log(2); }
  Math.trueRandom = (function() {
  var crypt = window.crypto || window.msCrypto;

  if (crypt && crypt.getRandomValues) {
      // if we have a crypto library, use it
      var random = function(min, max) {
          var rval = 0;
          var range = max - min;
          if (range < 2) {
              return min;
          }

          var bits_needed = Math.ceil(Math.log2(range));
          if (bits_needed > 53) {
            throw new Exception("We cannot generate numbers larger than 53 bits.");
          }
          var bytes_needed = Math.ceil(bits_needed / 8);
          var mask = Math.pow(2, bits_needed) - 1;
          // 7776 -> (2^13 = 8192) -1 == 8191 or 0x00001111 11111111

          // Create byte array and fill with N random numbers
          var byteArray = new Uint8Array(bytes_needed);
          crypt.getRandomValues(byteArray);

          var p = (bytes_needed - 1) * 8;
          for(var i = 0; i < bytes_needed; i++ ) {
              rval += byteArray[i] * Math.pow(2, p);
              p -= 8;
          }

          // Use & to apply the mask and reduce the number of recursive lookups
          rval = rval & mask;

          if (rval >= range) {
              // Integer out of acceptable range
              return random(min, max);
          }
          // Return an integer that falls within the range
          return min + rval;
      }
      return function() {
          var r = random(0, 1000000000) / 1000000000;
          return r;
      };
  } else {
      // From http://baagoe.com/en/RandomMusings/javascript/
      // Johannes Baagøe <baagoe@baagoe.com>, 2010
      function Mash() {
          var n = 0xefc8249d;

          var mash = function(data) {
              data = data.toString();
              for (var i = 0; i < data.length; i++) {
                  n += data.charCodeAt(i);
                  var h = 0.02519603282416938 * n;
                  n = h >>> 0;
                  h -= n;
                  h *= n;
                  n = h >>> 0;
                  h -= n;
                  n += h * 0x100000000; // 2^32
              }
              return (n >>> 0) * 2.3283064365386963e-10; // 2^-32
          };

          mash.version = 'Mash 0.9';
          return mash;
      }

      // From http://baagoe.com/en/RandomMusings/javascript/
      function Alea() {
          return (function(args) {
              // Johannes Baagøe <baagoe@baagoe.com>, 2010
              var s0 = 0;
              var s1 = 0;
              var s2 = 0;
              var c = 1;

              if (args.length == 0) {
                  args = [+new Date()];
              }
              var mash = Mash();
              s0 = mash(' ');
              s1 = mash(' ');
              s2 = mash(' ');

              for (var i = 0; i < args.length; i++) {
                  s0 -= mash(args[i]);
                  if (s0 < 0) {
                      s0 += 1;
                  }
                  s1 -= mash(args[i]);
                  if (s1 < 0) {
                      s1 += 1;
                  }
                  s2 -= mash(args[i]);
                  if (s2 < 0) {
                      s2 += 1;
                  }
              }
              mash = null;

              var random = function() {
                  var t = 2091639 * s0 + c * 2.3283064365386963e-10; // 2^-32
                  s0 = s1;
                  s1 = s2;
                  return s2 = t - (c = t | 0);
              };
              random.uint32 = function() {
                  return random() * 0x100000000; // 2^32
              };
              random.fract53 = function() {
                  return random() +
                      (random() * 0x200000 | 0) * 1.1102230246251565e-16; // 2^-53
              };
              random.version = 'Alea 0.9';
              random.args = args;
              return random;

          }(Array.prototype.slice.call(arguments)));
      };
      return Alea();
  }
}());

Math.guid = function() {
    return 'xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx'.replace(/[xy]/g, function(c)    {
      var r = Math.trueRandom() * 16 | 0,
          v = c == 'x' ? r : (r & 0x3 | 0x8);
      return v.toString(16);
  });
};
function logit(item1, item2) {
    console.log("Do "+item1+" and "+item2+" equal? "+(item1 == item2 ? "OMG! take a screenshot and you'll be epic on the world of cryptography, buy a lottery ticket now!":"No they do not. shame. no fame")+ ", runs: "+window.numberofRuns);
}
numberofRuns = 0;
function test() {
   window.numberofRuns++;
   var x = Math.guid();
   var y = Math.guid();
   var test = x == y || historyTest(x,y);

   logit(x,y);
   return test;

}
historyArr = [];
historyCount = 0;
function historyTest(item1, item2) {
    if(window.luckyDog) {
       return false;
    }
    for(var i = historyCount; i > -1; i--) {
        logit(item1,window.historyArr[i]);
        if(item1 == history[i]) {
            
            return true;
        }
        logit(item2,window.historyArr[i]);
        if(item2 == history[i]) {
            
            return true;
        }

    }
    window.historyArr.push(item1);
    window.historyArr.push(item2);
    window.historyCount+=2;
    return false;
}
luckyDog = false;
document.body.onload = function() {
document.getElementById('runit').onclick  = function() {
window.luckyDog = document.getElementById('lucky').checked;
var val = document.getElementById('input').value
if(val.trim() == '0') {
    var intervaltimer = window.setInterval(function() {
         var test = window.test();
         if(test) {
            window.clearInterval(intervaltimer);
         }
    },0);
}
else {
   var num = parseInt(val);
   if(num > 0) {
        var intervaltimer = window.setInterval(function() {
         var test = window.test();
         num--;
         if(num < 0 || test) {
    
         window.clearInterval(intervaltimer);
         }
    },0);
   }
}
};
};

Please input how often the calulation should run. set to 0 for forever. Check the checkbox if you feel lucky.<BR/>
<input type="text" value="0" id="input"><input type="checkbox" id="lucky"><button id="runit">Run</button><BR/>

ผมไม่ทราบว่าถ้าเรื่องนี้ให้คุณ แต่เก็บไว้ในใจว่าguid ของที่ไม่ซ้ำกันทั่วโลก แต่สตริง guid ของไม่ได้

สำหรับ UUID4 ฉันคิดว่ามันมี ID ประมาณมากเท่าที่มีเม็ดทรายในกล่องรูปลูกบาศก์ที่มีด้านยาว 360,000 กม. นั่นคือกล่องที่มีด้านยาวกว่าเส้นผ่านศูนย์กลางของดาวพฤหัสประมาณ 2 1/2 เท่า

ทำงานเพื่อให้มีคนบอกฉันได้ว่าฉันทำเลอะเทอะหรือไม่:

• ปริมาตรของเม็ดทราย 0.00947mm ^ 3 ( ผู้พิทักษ์ )
• UUID4 มี 122 บิตสุ่ม -> 5.3e36 ค่าที่เป็นไปได้ ( วิกิพีเดีย )
• ปริมาตรของทรายหลายเม็ด = 5.0191e34 mm ^ 3 หรือ 5.0191e + 25m ^ 3
• ความยาวด้านของกล่องลูกบาศก์ที่มีปริมาตรนั้น = 3.69E8m หรือ 369,000 กม
• เส้นผ่านศูนย์กลางของดาวพฤหัสบดี: 139,820km (google)