Почему соответствие FIPS 140-2 вызывает споры?

Я читал комментарии к статье о предлагаемой новой реализации /dev/случайный в Linux сегодня, и кто-то заметил, что, должно быть, утомительно пройти 43 ревизии и все еще не получить свой патч. Несколько комментариев в конце и кто-то, по-видимому, подразумевает, что эта новая реализация будет соответствовать FIPS 140-2., и что это вызывает споры с «разработчиком одного известного модуля ядра VPN», который «намеренно использует только алгоритмы, не одобренные NIST», имеет «твердое мнение против соответствия FIPS, необходимого для правительственных случаев использования».

Почему это? Что вызывает споры о соответствии FIPS 140-2?

я добавлю в другой ответ: в Правила сертификации FIPS 140-2 для ГСЧ были несовершенны; и уведомление об изменении FIPS 140-2 2 (декабрь 2002 г.) удалили часть о самотестировании.. Они буквально вычеркнуты из стандарта, оставив вакуум. Таким образом, FIPS 140-2 не предписывает технически удовлетворительного теста источника энтропии, никогда не предписывал, и это проблема. Он предписывает только утвержденные криптографические условия (по которым у меня нет технических оговорок после выхода Dual_EC_DRBG).

Первоначально было предписано 4 теста (монобит, покер, прогоны и длительные прогоны), которые должны выполняться по требованию оператора (на уровне 3) или при каждом включении питания (уровень 4), с ручным вмешательством, требуемым в случае сбоя теста. Это неправильно по нескольким причинам:

• Уровни приемлемости очень строгие (больше, чем они были в FIPS 140-1). Даже с идеальным генератором испытания в полевых условиях со значительной долей вероятности пройдут неудачно, и потребуется вмешательство человека. Это просто неприемлемо для некоторых приложений, включая операционные системы, доверенные платформенные модули и смарт-карты. Все, что работает без присмотра, не может быть уровня 4, а искажения требуются на уровне 3, чтобы оправдать «требование оператора».
• Не указано, что эти тесты должны выполняться на безусловном источнике энтропии. Таким образом, заманчиво запускать тесты на случайных числах, выводимых каким-либо блоком обработки, что делает тесты в значительной степени бессмысленными: если источник безусловной энтропии дает сбой или становится низкоэнтропийным, проверка обусловленного вывода не уловит этого, если только кондиционирование не имеет огромного теоретического недостатка.
• Уровень приемлемости некоторых тестов (в частности, монобитного теста и, в меньшей степени, покерного теста) таков, что небольшая погрешность, которая является совершенно нормальной и безвредной для безусловного источника энтропии с последующей надлежащей криптографической обработкой, вызовет катастрофически высокий процент отказов. . Таким образом, практически невозможно применить тесты к материалу, который требует тестирования.

Последние два вопроса остаются с более поздним СП 800-22 Ред. 1а Статистические тесты NIST для ГСЧ для криптографических приложений (которые, по моему ограниченному пониманию, теперь используются при сертификации). Математика тестов в порядке. Но, как указано выше, тесты очень чувствительны, поэтому их нельзя использовать на некондиционированном источнике истинной энтропии (тесты часто терпят неудачу), поэтому их можно использовать только на выходе кондиционированного источника, поэтому они не могут обнаружить дефекты источника, если кондиционирование хорошее. И невозможно обнаружить грамотно замаскированный генератор только по его выходу.

Таким образом, эти тесты либо терпят неудачу и дают хорошую гарантию того, что тестируемый материал отличим от случайного, либо завершаются успешно и дают кажущуюся гарантию безопасности, даже если энтропия источника очень ограничена или в кондиционировании есть черный ход, который может позволить атаку. .

Сотрудники NIST компетентны, и разумно задаться вопросом, не является ли истинной целью этих тестов создание иллюзии безопасности. Это согласуется с долгой историей США, активно занимающихся тайным использованием ослабленной криптовалюты:

• Сложный и многолетний компрометация Swiss Crypto AG фирма, которая продавала заведомо ослабленные шифровальные машины.
• DES: публикация АНБ, теперь уже рассекреченная, признает, что 56-битный ключ является результатом сделки между разработчиками, желающими получить 64-битный (по крайней мере, Люцифер в дизайне был вариант для 128-битных ключей); и АНБ, пытающееся навязать 48-битную систему для облегчения взлома; видеть это.
• Dual_EC_DRBG упоминается в другом ответе: преднамеренная попытка (и в свое время успешная) широко использовать ГСЧ с общедоступным дизайном и параметрами, который был бы безопасным, за исключением властей США (или того, кому удалось изменить открытый ключ, что случилось).

Вы можете сделать наилучший выбор во всех случаях, если вам не нужно соблюдать FIPS 140-2. Если вам необходимо соответствовать FIPS 140-2, вы можете сделать только лучшее. одобренный выбор. Таким образом, соответствие FIPS 140-2 никогда не позволяет вам сделать лучший выбор, а иногда вынуждает делать худший выбор.

Скажем, вам нужно выбрать один из двух вариантов, один из которых одобрен FIPS 140-2, а другой обычно рассматривается криптографическим сообществом как гораздо более безопасный выбор. Что выбрать?

Ответ заключается в том, что вам определенно следует выбрать тот, который считается гораздо более безопасным. пока не вы должны соответствовать стандарту FIPS 140-2. В этом случае вы должны использовать совместимый.

Очень хорошо использовать одобренные FIPS 140-2 методы, когда они имеют смысл.Единственное отличие соответствия FIPS 140-2 заключается в том, что в некоторых случаях оно вынуждает вас делать худший выбор.

Мои мысли слишком длинны для комментариев, поэтому я завершу их как ответ...

Есть некоторые серьезные проблемы с двумя другими ответами, поскольку некоторые из нас неверно истолковали, что такое тест случайности. По пунктам: -

1. «не доверяйте любым криптоалгоритмам, разработанным NIST». В FIPS нет алгоритмов, созданных NIST. Конечно, никакой сложности Dual_EC_DRBG. Прогоны и покерные тесты не являются проприетарными алгоритмами Министерства торговли США (NIST). Это математические характеристики равномерно случайного распределения. Если я утверждаю, что ожидаемое количество единиц должно быть ~ 50%, делает ли это меня подрывником? Также не расширяется среднее значение 0,5 с $n$ Стандартное отклонение. $\mathcal{N}(\mu, \sigma^2)$ является стандартизированной формой для этого дистрибутива, и я не ожидаю ничего менее неполного. Проверка повторяющихся выходных блоков (тест непрерывного генератора случайных чисел) — это не подрывная деятельность, а здравый смысл.

2. Могу ли я предложить этот тест FIPS в качестве доказательства: -

$cat /dev/urandom | рангтест
тест 5
Copyright (c) 2004 Энрике де Мораес Хольшух
Это бесплатное программное обеспечение; см. источник условий копирования. НЕТ гарантии; даже не для КОММЕРЧЕСКОЙ ПРИГОДНОСТИ или ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ.

rngtest: запуск тестов FIPS...
rngtest: биты, полученные с ввода: 8310580032
rngtest: FIPS 140-2 успешно: 415198
rngtest: сбои FIPS 140-2: 331
rngtest: FIPS 140-2 (2001-10-10) Монобит: 41
rngtest: FIPS 140-2 (2001-10-10) Покер: 53
rngtest: FIPS 140-2 (2001-10-10) Прогоны: 123
rngtest: FIPS 140-2 (2001-10-10) Длительный период: 115
rngtest: FIPS 140-2 (2001-10-10) Непрерывная работа: 0
rngtest: скорость входного канала: (min=10,703; avg=1976,720; max=19073,486) Мбит/с
rngtest: Скорость тестов FIPS: (минимум = 75,092; средняя = 199,723; максимальная = 209,599) Мбит/с
rngtest: Время выполнения программы: 43724402 микросекунды

Частота отказов составляет p = 0,0008. Это очень сравнимо с порогом p = 0,001 в наборе тестов SP800 STS, а также с твердолобым:

ВНИМАНИЕ: оценка(и) для рангов может быть фактически полностью
  неверным или вводящим в заблуждение. В частности, должны встречаться «слабые» значения p.
  один тест из ста, а значения p «Неудачные» должны встречаться в одном тесте из
  тысяча -- вот что ЗНАЧИТ p. Используйте их на свой страх и риск! Имейте в виду!

Так что вроде не спорно.

3. «Не указано, что эти тесты должны выполняться на безусловном источнике энтропии».. Конечно нет. Правильно. Ни у кого нет статистических характеристик для безусловного распределения источников энтропии. Они бывают всех форм и мест. Некоторые из них не имеют даже математических названий (двойная выборка логнормального, ванна МОД $х$ и т.д.) Мы можем запускать только стандартизированные статистические тесты на кондиционированном конечном выводе.

4. «Невозможно обнаружить грамотно замаскированный генератор только по его выходу». Опять же, конечно. Это не намерение, например. Стартовое тестирование FIPS. Для этого вам нужны программисты и криптографы. FIPS просто автоматизирует тестирование на случайность и устанавливает рекомендации для базового программирования безопасности, такие как отсутствие строковых литералов для управления и перемещаемый код. Все очень нормально.

Поэтому FIPS 140 не так уж и спорен. Сказать так все равно что сказать, что NIST заблокировал нормальное распределение или что твердолобый бесполезен. FIPS просто не хорош в некоторых вещах. А тестирование 20 000-битных блоков аккуратно вписывается в нижнюю часть шкалы тестирования случайности, чуть ниже энт (500 000 бит).