Получение случайных чисел из случайных чисел

Если у меня есть "действительно случайное число" $К$ из $L$ битов (что бы ни значило "истинно случайное"... является ли это значение из нормального распределения действительно случайным числом, или только равномерное распределение считается "истинно случайным"?) и "истинно случайное число" $Т$ из $M\le L$ биты,

какие арифметические/побитовые алгоритмы среди $К$ и $Т$ может генерировать новые действительно случайные числа? Если $М=L$, является $К + Т$ или же $К\ xor\ T$ действительно случайное число? или если $M\ltL$, делать такие методы, как HKDF-расширить-метка, HKDF-экстракт, или просто ша256 над $К$ и $Т$ генерировать действительно случайные числа? (например, разделение $К$ в $L/M$ блоки $ млн $ биты, примените некоторые из этих методов и объедините их выходные данные).

Я хотел бы узнать больше о том, какие свойства необходимы детерминированному алгоритму для получения действительно случайных чисел при условии, что его входные данные являются действительно случайными числами.

Пара догадок (при условии $М=L$ для простоты), $К + Т$ действительно случайное число, но $K\ побитовое\_и\ T$ не является.

ПРИМЕЧАНИЕ: Мой вопрос касается контекста шифров одноразовых блокнотов. Я хочу сохранить зашифрованный текст и $К$ отдельно и передавать его по безопасному каналу только тогда, когда требуется расшифровка, но вместо передачи $К$ сам по себе, который может быть очень длинным, поскольку он должен соответствовать длине открытого текста (которая может быть очень длинной), я думаю о вычислении $К$ производным от $J$ (размера $L$) и $Т$ размера $ млн $, оба являются случайными числами. $J$ хранится на стороне клиента, $Т$ хранится на стороне сервера и загружается по защищенному каналу, а $К$ окончательно создается на стороне клиента и удаляется из памяти сразу после расшифровки. Мой вопрос выше, наконец, о том, какую функцию вывода использовать, чтобы $К$ неотличимо от действительно случайного числа, предполагающего $J$ и $Т$ являются действительно случайными числами.

С точки зрения побитовой арифметики/побитовых операторов на равномерно распределенных независимых случайных числах (в криптографии обычно используется равномерное случайное число, но есть исключения, например, в решетчатой ​​криптографии), XOR дает равномерное распределение, + дает треугольное распределение, И дает распределение, где $ P (N) = 0,25 ^ {w (N)} 0,75 ^ {L-w (N)} $ куда $w$ - вес Хэмминга, произведение сложный, разность треугольная, ИЛИ дает распределение типа И, но с ролями $ ш (N) $ и $ L-w (N) $ наоборот, НЕ-ИЛИ имеет то же распределение, что и И, а НЕ-И имеет то же распределение, что и ИЛИ.

Влияние криптографических хеш-функций на однородный ввод обычно не известно как однородное, но часто моделируется как таковое.

Для одноразового блокнота вам понадобится равномерное распределение по всем ключам той же длины, что и открытый текст. Универсальная хеш-функция должна достичь этого, но убедитесь, что входные данные являются секретными, должным образом распределены и используются только один раз.

Все упомянутые вами алгоритмы (HKDF и SHA-256) являются псевдослучайными. В общем, любой подход, который вы собираетесь использовать здесь для преобразования некоторых действительно случайных чисел в другие последовательности, также является псевдослучайным. Это потому, что эти алгоритмы детерминированы: если вы введете одни и те же данные (энтропию), вы получите те же результаты.

Истинные случайные числа исходят из физического источника и не являются детерминированными. Это может быть радиоактивный распад, тепловой шум, автогенераторы или другие типы источников. Поскольку они не обязательно производят одинаковое количество единиц и нулей, а сбой неизвестен, обычно используется какая-то фильтрация и обработка, которая может быть криптографическим алгоритмом, таким как AES-CBC-MAC или SHA-256, или каким-то другим алгоритмом. устранение или уменьшение предвзятости, например XOR или устранение смещения фон Неймана, или и то, и другое.

Если бы вы использовали TRNG и производили случайные биты, вы могли бы выполнить операцию XOR с большим количеством битов из TRNG и получить ту же безопасность, но это было бы глупо, потому что вы используете вдвое больше битов из TRNG без увеличения безопасности. Точно так же вы можете выполнять модульное сложение байтов с двумя значениями TRNG, но опять же это имеет те же ограничения. Побитовое И смещает вывод, поэтому это может ослабить безопасность.

Поскольку любой алгоритм для расширения вывода TRNG будет псевдослучайным, а не действительно случайным, то, что вы, по сути, предлагаете, звучит как потоковый шифр с предварительно общим ключом на основе TRNG. Тем не менее, это совершенно нормально, как дизайн! Пока вы выбираете безопасный потоковый шифр, это законная и безопасная схема. Однако потоковые шифры не являются одноразовыми блокнотами и не являются доказуемо безопасными, но их гораздо удобнее использовать в реальной жизни.

Если вы решите использовать этот подход, я настоятельно рекомендую вам выбрать существующую, хорошо спроектированную библиотеку для ее создания. TLS поддерживает предварительные общие ключи, и, конечно же, есть другие библиотеки, которые могут делать то же самое для сообщений.