Регистрация Войти
Рейтинг:2
DurandA avatar Crypto

Извлечение случайности из источника Санта-Вазирани (полуслучайного)

флаг us
DurandA

Стремясь лучше понять экстракторы случайности (в контексте постобработки TRNG), я прочитал несколько статей о Экстрактор фон Неймана и Источники Санта-Вазирани (SV-). Экстрактор фон Неймана — это простой алгоритм, который работает с независимыми, предвзятыми источниками, такими как предвзятая монета. Однако доступные физические источники случайности несовершенны и необъективны. и коррелирует. Шанта и Вазирани определяют такой источник, известный как SV-источник.

Статья Санта-Вазирани, по-видимому, демонстрирует, что невозможно (детерминистически) извлечь почти однородный случайный бит из SV-источника. У меня нет необходимого математического образования, чтобы понять демонстрацию, но это утверждение меня действительно озадачивает. Например, я ожидаю, что хеш-функция создаст однородные случайные биты из SV-источника.

Что на самом деле означает эта демонстрация? Разве нельзя создать хороший TRNG из одного (это не относится к нескольким) необъективного и коррелированного источника?

230
1 + 1
Paul Uszak avatar
флаг cn
Paul Uszak
Меня не интересуют люди, переименовывающие общеизвестные источники в свои имена. Игнорируйте _"SV"_ и просто назовите его "коррелированным", как это делают все остальные.
2
Ответить
Рейтинг:2
Paul Uszak avatar Crypto
флаг cn
Paul Uszak

Однако доступные физические источники случайности несовершенны, предвзяты и коррелированы.

Нет, они не. Источники вообще не производят никакой энтропии. Никто. Представьте себе стабилитрон или кольцевой генератор перед вами. Они просто сидят там, выглядя запутанными.

наблюдатель генерирует энтропию при выборке источника. Источник этого не делает. Это приводит к понятию $ (\эпсилон, \тау) $-энтропия в единицу времени, где "$ (\эпсилон, \тау) $- энтропия – это количество информации, генерируемой в единицу времени в различных масштабах. $\тау$ времени и $\эпсилон$ наблюдаемых». Эффективная частота дискретизации и разрешение. Это означает, что наблюдатель может бесконечно изменять скорость энтропии источника по своему усмотрению, изменяя либо $\тау$ или же $\эпсилон$.

Это приводит к асимметричной двусторонней проблеме: как мы измеряем $H_{\infty}$ для коррелированных источников? Есть два асимметричных решения:

  1. Попробуйте определить $H_{\infty}$ для коррелированного источника с очень низкой достоверностью.

  2. Настройте свой $ (\эпсилон, \тау) $ режим выборки для получения некоррелированных данных с высокой достоверностью.

Практически никто не делает #1, и даже NIST сказал это почти невозможно (неосторожные комментарии Керри МакКей). я не могу представить, что $H_{\infty}$ означает практически коррелированный сценарий. Так что сделайте № 2, как это делает подавляющее большинство, получите $H_{\infty}$ как $-\log_2{(p_{\text{макс}})}$ и извлечь.

Поэтому это является можно создать хороший TRNG из предвзятый и коррелированный источник.

Статья Санта-Вазирани, по-видимому, демонстрирует, что невозможно (детерминистически) извлечь почти однородный случайный бит из SV-источника.

Не совсем. Это на самом деле говорит Напротив, мы доказываем, что не существует алгоритма, который может извлечь хотя бы один несмещенный бит из полуслучайного источника (фактически, не лучше, чем 1- $\дельта$ смещенный бит). " Это устоявшееся знание, и оно проявляется во всевозможных «экстракторных» бумагах. Это просто означает, что любая извлеченная случайность всегда будет иметь 1 - $\дельта$ предвзятость. NIST просто рекомендует держать его ниже $2^{-64}$ что легко.

Ссылка: Пьер Гаспар и Сяо-Цзин Ван, Шум, хаос и $ (\эпсилон, \тау) $-энтропия в единицу времени, ОТЧЕТЫ ПО ФИЗИКЕ (Обзорный раздел писем по физике) 235, № 6 (1993) 291–343. Северная Голландия.

0 + 8
DurandA avatar
флаг us
DurandA
Спасибо. Я начал читать справочник Гаспара-Ванга. В случае сигнала с цифровой дискретизацией, является ли $\epsilon$ пространством символов (например, 2 для двоичного сигнала)?
0
Ответить
Paul Uszak avatar
флаг cn
Paul Uszak
@DurandA Я думаю, что они оставили это расплывчатым, потому что это может быть несколько вещей. Это может быть разрешение АЦП в битах или милливольтах (это, конечно, связано). В чем-то вроде `haveged` TRNG это число битовых значений. По сути, это то, что вы _"наблюдаете_", то есть измеряете (это не время, а $\tau$).
1
Ответить
DurandA avatar
флаг us
DurandA
Теперь я лучше понимаю ваше замечание о высокочастотной выборке коррелированного источника в моем [связанном вопросе] (https://crypto.stackexchange.com/q/92020/39499).
1
Ответить
Paul Uszak avatar
флаг cn
Paul Uszak
@DurandA Да. Представьте, что каждые 10 секунд вы бросаете правильный кубик. Сделайте выборку со скоростью 1 выборка в секунду, и вы получите почти идеальную корреляцию. Но сэмплируйте каждые 11 секунд, и у вас будет некоррелированный источник. И на самом деле не имеет значения, что в последнем случае вы двигаетесь медленнее, так как в первом случае ваша скорость энтропии в любом случае будет очень низкой из-за автокорреляции.
1
Ответить
DurandA avatar
флаг us
DurandA
«_мы показываем, что ни один алгоритм извлечения битов не является одинаково хорошим для любого полуслучайного распределения с параметром $\delta$_»: как это может применяться к хеш-функциям?
0
Ответить
Paul Uszak avatar
флаг cn
Paul Uszak
@DurandA Я не могу математически - я своего рода экспериментальный чувак.Есть много бумаг для извлечения с математикой. Но хеш-функции детерминированы. Сами по себе они не вносят энтропии. Представьте себе 8-битную хеш-функцию, питаемую смещенной 8-битной необработанной энтропией (смещенной так, что все значения > 63). Хотя выходной домен будет на первый взгляд равномерно распределен, в нем по необходимости будет отсутствовать четверть возможных значений, поскольку это отображение 1: 1 (на самом деле сюръекция, но игнорируйте это). Вы можете уменьшить $\delta$, но не до абсолютного нуля.
1
Ответить
DurandA avatar
флаг us
DurandA
Я не осознавал, что при более длинном предвзятом вводе, например. хеширование 1 Мб смещенных и коррелированных случайных данных до 256 бит не даст однородного вывода, но скорее близкого к однородному. Демонстрация применима только к необъективным **и коррелированным** данным, верно? В противном случае данные могут быть предварительно обработаны экстрактором фон Неймана. Спасибо за уделенное время.
0
Ответить
Paul Uszak avatar
флаг cn
Paul Uszak
@DurandA Я некоторое время работал над TRNG и считаю, что самый простой (и самый безопасный) метод - настроить режим выборки $(\epsilon, \tau)$ так, чтобы ваши выборки не коррелировали. тогда vN становится неактуальным.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.