Выполнение OTP два или более раз с предвзятым TRNG: будет ли это иметь такую ​​же безопасность, как если бы это было сделано с непредвзятым TRNG?

Предположим, я хочу сделать одноразовый блокнот а у меня только предвзятое генератор истинных случайных чисел (TRNG).

Я XOR к блоку зашифрованного текста с другим блоком со случайными данными, полученными из TRNG, e повторите процесс два или более раз с разными случайными блоками.

Сделает ли эта схема одноразовый блокнот более безопасным? Будет ли это обеспечивать такую ​​же безопасность, как если бы это было сделано с беспристрастным TRNG?

Сходимость предложенного вами процесса к несмещенным битам определяется леммой о накоплении. Это будет медленно. Более эффективно использовать процедуры несмещения, такие как несмещение фон Неймана. См. например этот вопрос

Но это конечно проще из-за прямого XOR.

За $n$ независимые одинаково распределенные $\{0,1\}$ ценные случайные величины, $X_1, X_2, \ldots X_n$:

$$ Pr(X_1 \oplus \ldots \oplus X_n = 0) = \frac{1}{2} + 2^{n-1} \prod_{i=1}^n \epsilon_i $$ куда $\epsilon_i$ является предвзятость $X_i.$ Это дает окончательное смещение как

$$ \epsilon_{1,2, \ldots, n} = 2^{n-1} \prod_{i=1}^n \epsilon_i $$

Для каждого бита ваших комбинированных блоков и на примере смещения $\эпсилон_i = 0,4$ за $i=1,\ldots, n$ (соответствует 90% в другом ответе) мы получаем смещения, как показано ниже

\начать{массив}{с|с|с} \textrm{Число } & \textrm{Результирующая погрешность} & \textrm{Вероятность 1} \ \textrm{комбинированные блоки ($n$)} & & \ 2 и 0,32000 и 82,0\%\ 4&0,20480&70,4\%\ 8 и 0,083886 и 58,4\%\ 16 и 0,014074 и 51,4\% \конец{массив}

К вашему сведению, эта медленная сходимость из-за $2^{n-1}$ фактор является причиной работы линейного криптоанализа.

В значительной степени да.

Многие конструкции TRNG полностью основаны на цифровых схемах и не содержат каких-либо аналоговых компонентов [см. примечание]. Это упрощает их нанесение на кремний. Но, к сожалению, цифровые схемы имеют тенденцию работать в цифровом виде и поэтому довольно плохо генерируют энтропию. Поэтому вместо того, чтобы давать вам теоретический пример, вот реальный TRNG с очень плохой погрешностью:

Это из бумага создание FPGA TRNG.

Обратите внимание на Дециматора. Его роль заключается в последовательном XOR $K_D$ выборки вместе, чтобы увеличить энтропию на выходную выборку. В таком случае, $K_D=7$, с вашей точки зрения эффективно объединяя семь одноразовых паролей XOR вместе. Позже в этой статье $K_D$ достигает 185 для другого дизайна. Это 185 предвзятых выборок TRNG, объединенных XOR вместе с использованием Лемма о накоплении. Я не могу найти ссылку для вас, но я видел коэффициент прореживания 512 в кольцевом генераторе TRNG.

Таким образом, вы обнаружите, что последовательное множественное XOR распространено во всех цифровых TRNG в форме прореживания. Это позволяет избежать более сложных методов извлечения энтропии, таких как хеширование, которые требуют больше кремниевой недвижимости.

Запись.Я утверждаю, что в этом случае существует чисто цифровая схема, понимая, что все схемы в основном аналоговые на микроуровне.