Рейтинг:4

Crypto

Использование скремблера LFSR для выделения случайности полуслучайного источника

DurandA

11.11.2022, 19:28

Я использую сдвиговый регистр с линейной обратной связью (LFSR) в скремблер конфигурация как экстрактор случайности для слабослучайного источника. Этот источник является полуслучайным (он же. Источник Санта-Вазирани): биты коррелированные и предвзятые (с мин-энтропией ~0,5 на бит). Вот пример LFSR в конфигурации скремблера (это 12-битный, а я использую 32-битный регистр) с понижающей дискретизацией:

Слабослучайный источник энтропии напрямую подает сигнал на скремблер LFSR, а на выходе сильно понижается дискретизация (один выходной бит берется, например, для каждых 1000 слабых бит). Этот метод был предложено здесь. Однако я не нашел примеров, когда скремблеры LFSR используются в качестве экстракторов случайности. Отсюда у меня следующие вопросы:

Является ли использование скремблера для случайного извлечения полуслучайных данных допустимым? Чем он отличается от других экстракторов? Например, экстрактор фон Неймана подходит только для смещенного, независимого (не коррелированного) ввода и является линейным по времени.
Как вычислить, сколько требуется субдискретизации/прореживания на выходе LSFR, чтобы результат был пригоден для криптографического использования (учитывая оценку входной минимальной энтропии)?
Какие последствия имеет сразу весь регистр (например, вывод 32 бита каждые 32000 слабых входных данных), а не 1 бит на каждые 1000 входных данных?

контекст: LFSR используется в следующих TRNG:

227

1 + 6

энтропия

случайность

лфср

трнг

Paul Uszak

11.11.2022, 20:26

Что вы примеряете?

Ответить

DurandA

11.11.2022, 23:28

@PaulUszak XORed вывод нескольких кольцевых генераторов.

Ответить

Fractalice

14.11.2022, 09:38

Не знаком с аппаратной частью, в чем слабость кольцевых генераторов? Зависимость последовательных выборок или отклонение от 50%?

Ответить

DurandA

16.11.2022, 04:59

@Fractalice Выборочный сигнал от осцилляторов имеет как сильную периодичность, так и характеристики смещения. Вы можете увидеть оба в [этих шумовых изображениях](https://docs.google.com/document/d/1srb3rwd-MhxEhMsq1V8GMYIejlq99ZZWdcyAHJvAths/edit?usp=sharing), которые я создал. На изображении 4x3 этапа мы можем различить некоторые узоры линий, что является прямым следствием периодичности/отсутствия джиттера. По сравнению с истинными случайными данными осцилляторы производят больше белых пикселей, что означает смещение в сторону 1.

Ответить

Paul Uszak

19.12.2022, 22:54

@DurandA Вы не можете этого сделать. Глаз не может различить автокорреляцию (R) $R \leqslant 10^{-3}$ и $R > 10^{-3}$. Это общепринятые пределы корреляции.

Ответить

DurandA

27.12.2022, 23:53

@PaulUszak Я думаю, что эти шумовые изображения могут помочь развить интуицию, когда закономерность очень очевидна. Конечно, обратное неверно, и это нельзя использовать ни для какой оценки энтропии.

Ответить

b degnan

15.08.2023, 10:08

@DurandA, поскольку вы можете доказать, что джиттер в кольцевом генераторе является функцией двустороннего дробового шума канала (не Джонсона) для каждого переключателя. Вам нужен только один RO со значительно более медленным семплом (в пределах допустимого уровня шума). В кремнии это нормально, и если вы выполняете моделирование методом Монте-Карло, вы можете увидеть такое поведение, но вы всегда можете его измерить.

Ответить

Рейтинг:0

Crypto

Paul Uszak

11.11.2022, 20:23

ТРНГ: нет.

Скремблирование ~ перестановка. Это не безопасность, это обфускация.
Это суть вашего вопроса, и он полностью субъективен. Большинство здесь знают, что я ярый сторонник одноразовых блокнотов, но. Поделитесь своими данными о вашем TNRG. 50 МГц? Нет. Никакой коммерческий TRNG не делает этого, поскольку вы столкнетесь с автокорреляцией. Делиться...
Не имеющий отношения :-).

Мы можем работать над этим, но $H_{\infty}$ сильно сократится.

0 + 8

DurandA

12.11.2022, 01:28

Я обновлю вопрос с дизайном TRNG (в основном [это] (https://crypto.stackexchange.com/q/89709/39499), но с 32-битным LFSR в конфигурации скремблера).Однако мне не понятна ваша негативная реакция по поводу частоты дискретизации 50 МГц от источника слабой энтропии. Как эта частота связана с безопасностью системы, если экстрактор случайности собирает достаточно энтропии?

Ответить

Paul Uszak

12.11.2022, 04:40

Отрицательная реакция: опыт. Кольцевые осиллоторы известны своей стабильностью. Я видел скорость прореживания 1024. Единственная причина, по которой мы их делаем, заключается в том, что это легко для кремния.

Ответить

DurandA

16.11.2022, 03:44

«Это не безопасность, это обфускация»: безопасность системы не зависит от знания конфигурации LFSR. Как показал @fgrieu [здесь] (https://crypto.stackexchange.com/a/89712/39499), добавление еще одного LFSR в конфигурацию дескремблера покажет первоначальный ввод — чье смещение можно использовать для прогнозирования будущего вывода. Вместо этого система полагается на прореживание на выходе LFSR для извлечения случайности.Учитывая, что вы знаете полный дизайн системы и последние сгенерированные значения, есть ли у вас шанс предсказать будущие значения больше, чем случайный?

Ответить

Paul Uszak

16.11.2022, 12:51

@DurandA Безопасность TRNG не зависит от «скрытого» дизайна. Это происходит из-за какого-то внутреннего физического свойства, которое вы используете. Дрожание/задержка распространения кольцевого генератора могут быть описаны статистически только на макроуровне. Если нет смещения (равномерное распределение, а не гауссовское), вы будете в безопасности.

Ответить

Paul Uszak

16.11.2022, 12:52

Вы измеряли энтропию на тик в Sampler? Это решающее измерение.

Ответить

DurandA

16.11.2022, 14:44

«_Это происходит из-за некоторого внутреннего физического свойства, которое вы используете._» Поскольку кольцевой осциллятор является слабо случайным, требуется «извлечь» энтропию с помощью экстрактора случайности, который даст гораздо меньший результат. В моем случае я накапливаю 1000 слабо случайных битов от кольцевых генераторов, чтобы получить 1 бит. Вопрос в том, подходит ли LFSR для этой задачи и как он сравнивается, например, с безопасная хэш-функция.

Ответить

DurandA

18.11.2022, 00:09

Да, минимальная энтропия составляет ~0,54/бит (отредактировано) согласно ea_non_iid из SP800-90B. Я знаю, что есть [некоторые противоречия] (https://crypto.stackexchange.com/questions/83882/whats-wrong-with-nist-sp-800-90b) по поводу этого теста, но я не знаю лучшего метода для оцените минимальную энтропию без дорогого осциллографа, чтобы охарактеризовать джиттер.

Ответить

DurandA

19.11.2022, 01:43

Я четко понимаю, как можно использовать дизайн `[предвзятый независимый источник] -> [LFSR]`. Как насчет `[смещенный коррелированный источник] -> [LFSR] -(в основном однородно коррелированный)-> [дециматор]`, как было предложено?

Ответить

Admin

Этот вопрос на других языках:

EN: Use of scrambler LFSR for randomness extraction of semi-random source

TH: การใช้ LFSR ของ scrambler สำหรับการสุ่มแยกแหล่งที่มากึ่งสุ่ม

RO: Utilizarea scrambler LFSR pentru extragerea aleatorie a sursei semi-aleatorie

RU: Использование скремблера LFSR для выделения случайности полуслучайного источника

VI: Sử dụng bộ mã hóa LFSR để trích xuất ngẫu nhiên nguồn bán ngẫu nhiên

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.