Рейтинг:2

Crypto

Кондиционирование предвзятого источника с помощью блочного шифра?

Matt

24.01.2023, 04:30

Я работаю над книгой Столлингса «Криптография и сетевая безопасность». Я самоучка по криптографии, никогда не посещал занятия, но я реализовал некоторые функции криптоускорителя в аппаратном обеспечении на работе, и мне интересно узнать больше.

Глава 8 посвящена генерации случайных битов. Обсуждение настоящих генераторов случайных чисел говорит о смещении и о том, как его устранить с помощью алгоритмов обработки. Одним из таких вариантов является подача истинного вывода rng в блочный шифр, такой как AES. Какие?

Я понимаю, как это приведет к получению данных, которые кажутся случайными и проходят тесты на случайность. Но если известно, что входные данные смещены определенным образом, можно использовать грубую силу, чтобы попытаться воспроизвести случайный битовый поток. Доведенный до крайности, что, если бы истинный ранг выдавал только 1 с очень редко. Злоумышленник может попробовать небольшое количество однократных, двухкратных и т. д. ключей в блочном шифре, и что-то совпадет.

Наверняка я что-то упускаю...

0 + 0

трнг

fgrieu

24.01.2023, 05:46

Это может помочь указать издание «Криптография и сетевая безопасность» и более точное описание того, как используется блочный шифр, если таковое имеется.

Ответить

Рейтинг:1

Crypto

Paul Uszak

24.01.2023, 12:18

Более подходящей ссылкой является Специальная публикация NIST 800-90B, "Рекомендация по энтропии Источники, используемые для случайного бита Поколение" так как вы используете термин "настоящие генераторы случайных чисел" и нет "детерминированный".

Слишком много для этого ответа, поэтому я отсылаю вас к §3.1.5.

Что, если истинный генератор очень редко поставляет только 1 с

Не имеет значения и очень часто встречается в источниках энтропии кольцевых генераторов. скажем "редко" означает один переход в 100 выборках. Вы выбрасываете 99 сэмплов и просто оставляете 100-й с помощью процесса, называемого прореживанием. Я видел деление на 512 дециматоров в экспериментальных кольцевых генераторах. Например.:-

NIST продолжает изменять процедуры оценки энтропии (чтобы воспрепятствовать их использованию?), но последняя §3.1.5.1.2 Оценка энтропии с использованием проверенных компонентов кондиционирования воспроизводится здесь: -

Это версия NIST Осталось хэша лемма (выведенная из шага 4 выше). Хотя во многих проектах просто используется исходная лемма, когда не требуются компоненты криптографической обработки. А преимущество леммы в том, что она позволяет напрямую вычислить конечное смещение энтропии.

Таким образом, смещение источника энтропии легко устраняется с помощью хорошо зарекомендовавших себя методов. Конечно, чем больше смещение, тем медленнее конечная скорость вывода/менее эффективная конструкция.

0 + 0

Matt

24.01.2023, 14:59

В этом ответе подразумевается та же концепция, что и в другом ответе, что более предвзятый источник производит биты медленнее из-за меньшей энтропии на бит. Спасибо.

Ответить

Paul Uszak

25.01.2023, 12:05

@Matt Конечно, но это прямо отвечает на ваш вопрос _ «что, если бы истинный генератор очень редко предоставлял только 1 с» _ вопрос (надеюсь). И он показывает вам, как это сделать, по сути, делая уровень смещения спорным по сравнению с попыткой грубой силы инверсии ГСЧ.

Ответить

Рейтинг:1

Crypto

fgrieu

24.01.2023, 06:02

Часто алгоритмы кондиционирования имеют выход значительно меньше, чем их вход, что имеет большое значение для решения реальной проблемы в вопросе: если на входе недостаточно энтропии, на выходе не может быть одинаковой длины.

В качестве простого примера, используя AES-256, разбивая 384-битную входную битовую строку на 128-битную и 256-битную битовую строку, затем шифруя первую по AES-256 с ключом, вторая выводит 128-битный условный вывод.

Если каждый входной бит имеет по крайней мере 0,5-битную энтропию (для независимых битов: среднее в [0,11…, 0,89…]), 256-битный ключ имеет 128-битную энтропию; и 64-битная энтропия 128-битного блока также делает безнадежным создание практического различителя, работающего только на выходе.

0 + 0

Matt

24.01.2023, 14:56

Я думаю, что это имеет смысл для меня. Идея состоит в том, чтобы отбросить достаточное количество битов, чтобы мы получили столько же битов, сколько и энтропия источника. Я думаю, что отсутствие у меня знаний в области теории информации сделало это не очевидным для меня, но это имеет интуитивно понятный смысл.

Ответить

Admin

Этот вопрос на других языках:

EN: Conditioning a biased source with a block cipher?

TH: การปรับสภาพแหล่งที่มาที่มีอคติด้วยการเข้ารหัสแบบบล็อก?

RO: Condiționarea unei surse părtinitoare cu un cifru bloc?

RU: Кондиционирование предвзятого источника с помощью блочного шифра?

VI: Điều chỉnh nguồn sai lệch bằng mật mã khối?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.