Рейтинг:2

Кондиционирование предвзятого источника с помощью блочного шифра?

флаг pe

Я работаю над книгой Столлингса «Криптография и сетевая безопасность». Я самоучка по криптографии, никогда не посещал занятия, но я реализовал некоторые функции криптоускорителя в аппаратном обеспечении на работе, и мне интересно узнать больше.

Глава 8 посвящена генерации случайных битов. Обсуждение настоящих генераторов случайных чисел говорит о смещении и о том, как его устранить с помощью алгоритмов обработки. Одним из таких вариантов является подача истинного вывода rng в блочный шифр, такой как AES. Какие?

Я понимаю, как это приведет к получению данных, которые кажутся случайными и проходят тесты на случайность. Но если известно, что входные данные смещены определенным образом, можно использовать грубую силу, чтобы попытаться воспроизвести случайный битовый поток. Доведенный до крайности, что, если бы истинный ранг выдавал только 1 с очень редко. Злоумышленник может попробовать небольшое количество однократных, двухкратных и т. д. ключей в блочном шифре, и что-то совпадет.

Наверняка я что-то упускаю...

fgrieu avatar
флаг ng
Это может помочь указать издание «Криптография и сетевая безопасность» и более точное описание того, как используется блочный шифр, если таковое имеется.
Рейтинг:1
флаг cn

Более подходящей ссылкой является Специальная публикация NIST 800-90B, "Рекомендация по энтропии Источники, используемые для случайного бита Поколение" так как вы используете термин "настоящие генераторы случайных чисел" и нет "детерминированный".

Слишком много для этого ответа, поэтому я отсылаю вас к §3.1.5.

Что, если истинный генератор очень редко поставляет только 1 с

Не имеет значения и очень часто встречается в источниках энтропии кольцевых генераторов. скажем "редко" означает один переход в 100 выборках. Вы выбрасываете 99 сэмплов и просто оставляете 100-й с помощью процесса, называемого прореживанием. Я видел деление на 512 дециматоров в экспериментальных кольцевых генераторах. Например.:-

дециматор

NIST продолжает изменять процедуры оценки энтропии (чтобы воспрепятствовать их использованию?), но последняя §3.1.5.1.2 Оценка энтропии с использованием проверенных компонентов кондиционирования воспроизводится здесь: -

схватить

Это версия NIST Осталось хэша лемма (выведенная из шага 4 выше). Хотя во многих проектах просто используется исходная лемма, когда не требуются компоненты криптографической обработки. А преимущество леммы в том, что она позволяет напрямую вычислить конечное смещение энтропии.

Таким образом, смещение источника энтропии легко устраняется с помощью хорошо зарекомендовавших себя методов. Конечно, чем больше смещение, тем медленнее конечная скорость вывода/менее эффективная конструкция.

Matt avatar
флаг pe
В этом ответе подразумевается та же концепция, что и в другом ответе, что более предвзятый источник производит биты медленнее из-за меньшей энтропии на бит. Спасибо.
Paul Uszak avatar
флаг cn
@Matt Конечно, но это прямо отвечает на ваш вопрос _ «что, если бы истинный генератор очень редко предоставлял только 1 с» _ вопрос (надеюсь). И он показывает вам, как это сделать, по сути, делая уровень смещения спорным по сравнению с попыткой грубой силы инверсии ГСЧ.
Рейтинг:1
флаг ng

Часто алгоритмы кондиционирования имеют выход значительно меньше, чем их вход, что имеет большое значение для решения реальной проблемы в вопросе: если на входе недостаточно энтропии, на выходе не может быть одинаковой длины.

В качестве простого примера, используя AES-256, разбивая 384-битную входную битовую строку на 128-битную и 256-битную битовую строку, затем шифруя первую по AES-256 с ключом, вторая выводит 128-битный условный вывод.

Если каждый входной бит имеет по крайней мере 0,5-битную энтропию (для независимых битов: среднее в [0,11…, 0,89…]), 256-битный ключ имеет 128-битную энтропию; и 64-битная энтропия 128-битного блока также делает безнадежным создание практического различителя, работающего только на выходе.

Matt avatar
флаг pe
Я думаю, что это имеет смысл для меня. Идея состоит в том, чтобы отбросить достаточное количество битов, чтобы мы получили столько же битов, сколько и энтропия источника. Я думаю, что отсутствие у меня знаний в области теории информации сделало это не очевидным для меня, но это имеет интуитивно понятный смысл.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.