Извлечение случайности на коррелированных данных в TRNG

Настоящие генераторы случайных чисел (TRNG), о которых я читал, в основном состоят из двух цифровых каскадов:

• Низкочастотная выборка (физического источника шума)
• Экстрактор случайности

Шумовой сигнал дискретизируется на низкой частоте, чтобы избежать корреляции. Функционально это эквивалентно следующим трем этапам:

1. Высокочастотная выборка
2. Дециматор
3. Экстрактор случайности

В этой схеме (1) создается коррелированный и смещенный источник, (2) декоррелируется источник и (3) извлекается энтропия для получения равномерно распределенного вывода.

Теперь представьте, что мы меняем местами стадии (2) и (3) таким образом, что экстрактор подает на вход дециматор. Каковы последствия для TRNG?

Я знаю, что некоторые экстракторы (например, экстрактор фон Неймана) работают только с независимыми (не коррелированными) источниками.Как насчет других экстракторов или использования PRNG перед прореживанием? Моя интуиция подсказывает, что PRNG — поскольку он не меняет количество энтропии — «обменяет» смещение на большую корреляцию.

Теперь представьте, что мы меняем местами стадии (2) и (3) таким образом, что экстрактор подает на вход дециматор. Каковы последствия для TRNG?

Вы будете сильно поражены расчетом мин. энтропии NIST 800-90B для коррелированных источников энтропии. Я предполагаю, что вас беспокоят кошерные TRNG. нет гибридные модели, такие как DRBG NIST от 800-90A. Эти подсказки теряют множество псевдослучайных битов между повторными заполнениями (также как \dev\urandom).

Это означает, что вам нужно извлечь несмещенные биты (смещение < $2^{-64}$, корреляция <$10^{-3}$) из необработанного, возможно, коррелированного источника. Тем не менее, вы будете в курсе проблем, касающихся NIST. ea_non_iid инструмент оценки. И нет другого, о котором я знаю. Так что вы не можете с какой-либо авторитетной уверенностью. Но вы можете установить, является ли источник IID с высокой степенью уверенности. Вот почему принято либо прореживать необработанные исходные сэмплы, либо настраивать разрешение/частоту. $(\эпсилон, \тау^{-1})$ режима отбора проб, пока не будут получены образцы IID.

...поскольку это не меняет количество энтропии...

Но надо уменьшать (поэтому измените) количество энтропии, исходящей от исходного источника TRNG. В противном случае вы создадите гибридный TRNG, который производит большое (но почти неизмеримое) количество псевдослучайности в выходном потоке.

Как насчет других экстракторов или использования PRNG перед прореживанием?

ГПСЧ не может сжимать выборки, поэтому ГПСЧ не может действовать как экстрактор без массивного и очень неэффективного повторного заполнения.И прореживание не может значительно увеличить скорость энтропии, все, что оно может сделать, это преобразовать образцы, отличные от IID, в образцы IID.

Вы можете увидеть этот тип кондиционирования здесь, где я декоррелирую файлы JPEG размером ~ 21 КБ в 5,8 КБ с помощью некоторого причудливого сочетания уменьшения энтропии и изменения режима выборки. В моем связанном примере я использую SHA-512 в качестве экстрактора для сжатия 778 бит до 512 для достижения $\эпсилон = 2^{-128}$ в соответствии с леммой Left Over Hash.