Tomcatが起動しない！？SecureRandomと乱数デバイスの罠​

Transcript

1. Tomcatが起動しない！？ SecureRandomと乱数デバイスの罠 2025 JJUG Fall （11/15） 株式会社ケープロジェクト ふじきゃわ

2. ！注意！ ※本資料は古いLinuxへの対応履歴です、 最新のLinuxでは/randomもブロックしないような 改善が行われていますのでご注意ください。 参考記事： https://megascus.hatenablog.com/entry/2024/08/22/151816 「最新のLinuxと古めのLinuxが混在している環境での /dev/randomを使っての乱数生成に注意」

3. 自己紹介 • ふじきゃわ • 元テレビのAD（アシスタントディレクター） • 好きなものはとんかつとペンギン • Java歴7年 •

   現在20年もののERP保守中

4. 今日のゴール • 現場トラブル（起動遅延）の因果をOSとJavaの両面から正し く理解する • Java側の選択（SecureRandomプロバイダ）で再発を防ぐ 判断基準を持ち帰る • 明日から使える：検証・対策・設定の実用パターンを共有

5. 目次 • 現場で起きたTomcat起動後アプリ停止事件 • SecureRandomの概要 • 乱数生成器：RNG • エントロピーはどこから？ •

   解決！ • 今後の対策

6. 現場で起きたTomcat起動後アプリ停止事件 • 環境：Linux + Java 11 + Tomcat8.5 • 症状：毎朝早朝にTomcatを自動起動していたが、

   始業開始頃に「500エラー」が発生。 エラーが発生する際のログは決まっていつも最後は、 アプリ側のログ：「ログイン要求が発生しました」 • 補足：Windows顧客では発生していない。

7. 現場で起きたTomcat起動後アプリ停止事件 • 着目したのは・・・ アプリ側に最初のログイン時に、時折出るログでした。 警告[ajp-nio-127.0.0.1-8009-exex-5] org.apache.Catalina.util.SessionIdGeneratorBase.createSecureRandom セッションIDを生成するためのSecureRandomインスタンスの作成に [156]ミリ秒かかりました。 アルゴリズムは[SHA1PRNG]です。

8. SecureRandomの概要 ってなんやねん

9. SecureRandomとは • Javaで乱数を生成するクラスは・・・ java.util.Random java.security.SecureRandom 用途 普通の乱数を生成する 暗号論的に安全なセキュアな乱数を生成する 特徴 ゲーム・シミュレーションなど

   セキュリティ用途（パスワード・トークンなど） 生成速度 速い 遅い 特徴 疑似乱数(PRNG)予測されやすい 暗号学的 PRNG(CSPRNG)予測不能で安全

10. セキュアな乱数って一体・・・・？

11. java.util.Random import java.util.Random; Random random = new Random(); int iv

    = random.nextInt(100); //int型の乱数を生成 double dv = random.nextDouble(); //double型の乱数を生成

12. java.security.SecureRandom import java.security.SecureRandom; SecureRandom secureRandom = new SecureRandom(); int iv

    = secureRandom.nextInt(100); // int型の乱数 double dv = secureRandom.nextDouble(); // double型の乱数

13. あれ・・・・同じ・・・？

14. java.util.Random import java.util.Random; Random r1 = new Random(); Random r2

    = new Random(); r1.setSeed(12345); r2.setSeed(12345); System.out.println(r1.nextInt()); // 1553932502 System.out.println(r2.nextInt()); // 1553932502 同じシード値なら 同じ乱数を出す

15. java.security.SecureRandom import java.security.SecureRandom; SecureRandom sr1 = new SecureRandom(); SecureRandom sr2

    = new SecureRandom(); sr1.setSeed(12345); sr2.setSeed(12345); System.out.println(sr1.nextInt()); // 974898412 System.out.println(sr2.nextInt()); // -1317823390 同じシード値でも 異なる乱数を出す

16. SEED(シード)値・・・？

17. 乱数生成器：RNG Random Number Generator SEED(シード)値・・・？

18. 乱数生成器：RNG • 乱数を作る装置、アルゴリズム全般のこと • 大きく分けて２種類。 TRNG (True RNG ) 真性乱数生成器

    PRNG (Pseudo RNG ) 擬似乱数生成器

19. 乱数生成器：RNG • 乱数を作る装置、アルゴリズム全般のこと • 大きく分けて２種類。 TRNG (True RNG ) 真性乱数生成器

    PRNG (Pseudo RNG ) 擬似乱数生成器 自然現象 から 乱数を取るもの 電気ノイズや熱 アルゴリズムで計算をして 乱数っぽく作るもの

20. 乱数生成器：RNG • 乱数を作る装置、アルゴリズム全般のこと • 大きく分けて２種類。 TRNG (True RNG ) 真性乱数生成器

    PRNG (Pseudo RNG ) 擬似乱数生成器 CSPRNG (Cryptographically Secure PRNG ) 暗号論的擬似乱数生成器

21. javaでの PRNG 擬似乱数生成器 PRNG (Pseudo RNG ) 擬似乱数生成器 CSPRNG (Cryptographically

    Secure PRNG ) 暗号論的擬似乱数生成器 java.util.Random java.security.SecureRandom

22. PRNG(Pseudo RNG) 擬似乱数生成器 RNG アルゴリズム SEED(シード) 乱数

23. PRNG と CSPRNG の比較表 クラス例 乱数源 再現性 生成速度 予測され やすさ

    PRNG 擬似乱数生成器 Random シード値(種) あり (アルゴリズムで決まってしまう) 速い シードが漏れると可能性あり CSPRNG 暗号論的擬似乱数生成器 SecureRandom シード値(種)＋エントロピー(乱雑さ) なし 遅い シードが漏れても割り出しにくい

24. CSPRNG 暗号論的擬似乱数生成器 RNG アルゴリズム SEED(シード) セキュア な乱数 エントロピー

25. java.security.SecureRandom どのようなときに使われるか？ • Tomcat起動時のSessionIDの生成 • Oracle接続時のJDBC利用時 • ライセンスチェックなどの認証処理などで

26. 現場で起きたTomcat起動後アプリ停止事件 • 着目したのは・・・ アプリ側に最初のログイン時に、時折出るログでした。 警告[ajp-nio-127.0.0.1-8009-exex-5] org.apache.Catalina.util.SessionIdGeneratorBase.createSecureRandom セッションIDを生成するためのSecureRandomインスタンスの作成に [156]ミリ秒かかりました。 アルゴリズムは[SHA1PRNG]です。 振り返りシート

27. 現場で起きたTomcat起動後アプリ停止事件 • 環境：Linux + Java 11 + Tomcat8.5 • 症状：毎朝早朝にTomcatを自動起動していたが、

    始業開始頃に「500エラー」が発生。 エラーが発生する際のログは決まっていつも最後は、 アプリ側のログ：「ログイン要求が発生しました」 • 補足：Windows顧客では発生していない。 振り返りシート

28. 問題が発生した環境 OS = Linux APPサーバー DB WEBアプリ JDK 毎朝自動で再起動↓

29. 問題が発生した環境 OS = Linux APPサーバー DB WEBアプリ JDK セッションIDなど SecureRandom

    ログイン要求

30. 原因は認証処理でした。 秘密鍵の生成メソッド（）｛ Security.addProvider(provider); SecureRandom sr = SecureRandom.getInstance("SHA1PRNG", provider); sr.setSeed(System.currentTimeMillis()); keyGenerator.init(128,

    sr); ｝ ログイン時に 乱数を使って秘密鍵を生成していた

31. でも、なぜ発生したのか・・・？

32. エントロピーはどこから？ OSのノイズ収集方法 でも、なぜ発生したのか・・・？

33. CSPRNG 暗号論的擬似乱数生成器 RNG アルゴリズム SEED(シード) セキュア な乱数 エントロピー 振り返りシート

34. Linuxでの乱数生成 • LinuxはOS内部の CSPRNG にアクセスする窓口を２種類持つ /dev random urandom OS内部 CSRPNG

35. Linuxでの乱数生成 • LinuxはOS内部の CSPRNG にアクセスする窓口を２種類持つ • エントロピーが枯渇した時の挙動が異なる /dev random urandom

    OS内部 CSRPNG エントロピー エントロピー エントロピー

36. random と urandom の違い エントロピーの枯渇時の挙動 random 処理をブロックし、待ちを行う urandom 内部プールから再利用し、処理をブロックしない

37. Linuxでのエントロピーとは？ • キーボードやマウスでの入力操作など！

38. 問題が発生した環境 OS = Linux APPサーバー DB WEBアプリ JDK 毎朝、無人で自動で再起動↓ 振り返りシート

39. 問題が発生した環境 OS = Linux APPサーバー DB WEBアプリ JDK 毎朝、無人で自動で再起動↓ 振り返りシート

    エントロピーが枯渇してしまう！

40. 現場で起きたTomcat起動後アプリ停止事件 • 環境：Linux + Java 11 + Tomcat8.5 • 症状：毎朝早朝にTomcatを自動起動していたが、

    始業開始頃に「500エラー」が発生。 エラーが発生する際のログは決まっていつも最後は、 アプリ側のログ：「ログイン要求が発生しました」 • 補足：Windows顧客では発生していない。 振り返りシート

41. 現場で起きたTomcat起動後アプリ停止事件 • 原因は、JDKで利用するLinuxのCSPRNGインターフェースが、 /dev/randomを利用する設定になっていたこと。 • 無人でのサーバー運用をしており、かつ、ログイン処理内で SecureRandom.getInstance(“SHA1PRNG”)のような、 秘密鍵の生成処理があり、乱数利用をしていたこと。 • randomの閾値は「64」と低いが、Tomcatの日次再起動などで

    枯渇を繰り返していたこと。

42. 現場で起きたTomcat起動後アプリ停止事件 • 解決方法 JDKで利用するLinuxのCSPRNGインターフェースを、 /dev/urandomを利用する設定へ変更した。 $JDK_HOME/conf/security/java.security #securerandom.source=file:/dev/random securerandom.source=file:/dev/urandom

43. 現場で起きたTomcat起動後アプリ停止事件 • 解決方法 JDKで利用するLinuxのCSPRNGインターフェースを、 /dev/urandomを利用する設定へ変更した。 $JDK_HOME/conf/security/java.security #securerandom.source=file:/dev/random securerandom.source=file:/dev/urandom 解決!

44. Q.Windowsではなぜ起きない？ • JavaのSecureRandomが OS CSPRNG API を利用 • エントロピーの扱いが異なり、起動時ブロックが基本的に発生 しない

    • 同じアプリでもOS差で症状が出たり出なかったりする

45. 今後の対策 １.SHA1PRNG を明示指定しない SecureRandom sr1 = new SecureRandom(); →JVM がその

    OS と環境に最適な実装（NativePRNG系とか） を選んでくれる。 2.Java9以降なら、DRBGを指定して実装する。 SecureRandom sr = SecureRandom.getInstance(“DRBG”,省略); →Javaの最新の強度が高い乱数生成器で、 初回のみブロックするが、以降はブロックしない特性を持つ。

46. ご清聴ありがとうございました ※本資料は古いLinuxへの対応履歴です、 最新のLinuxでは/randomもブロックしないよう な改善が行われていますのでご注意ください