|
Источник
энтропии
Алгоритм
ГПСЧ
Достоинства Недостатки
/dev/random в UNI
X/Linux
Счётчик тактов
процессора,
однако
собирается
только во время
аппаратных
прерываний
РСЛОС, с
хешировани
ем выхода
через SHA-1
Есть во всех
Unix,
надёжный
источник
энтропии
Очень долго
«нагревается»,
может надолго
«застревать»,
либо работает
как ГПСЧ
(/dev/urandom)
Yarrow от
Брюса Шнайера
Традиционные
методы
AES-256
и SHA-
1 маленького
внутреннего
состояния
Гибкий
криптостойк
ий дизайн
Медленный
Microsoft CryptoAP
I
Текущее время,
размер жёсткого
диска, размер
свободной
памяти, номер
процесса и
NETBIOS-имя
компьютера
MD5-хеш
внутреннего
состояния
размером в
128 бит
Встроен в
Windows, не
«застревает»
Сильно зависит
от
используемого
криптопровайд
ера (CSP).
Java SecureRandom
Взаимодействие
между потоками
SHA-1-хеш
внутреннего
состояния
(1024 бит)
Большое
внутреннее
состояние
Медленный
сбор энтропии
RdRand от Intel
Шумы токов
Построение
ПСЧ на
основе
«случайного
» битового
считывания
значений от
токов
Очень быстр,
не
«застревает»
Оригинальная
разработка,
свойства
приведены
только по
утверждению
разработчиков.
International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30
541
С точки зрения
теории информации
количество случайности —
энтропия
, которая может быть получена, равна энтропии, предоставляемой
системой. Но зачастую в реальных ситуация требуется больше случайных
чисел, чем можно получить при существующей энтропии. К тому же
процедура получения случайности из самой системы требует достаточно
много ресурсов (памяти и времени). В таких случаях, оправданно
использование КСГПСЧ — это позволяет «растянуть» имеющуюся энтропию
на большее число бит. Когда вся энтропия доступна до выполнения
криптографического алгоритма, получается
потоковый шифр
[2]. Однако
некоторые
криптосистемы
позволяют добавлять энтропию по мере работы, в
таком случае алгоритм не является эквивалентом потокового шифра и не
может использоваться в этом качестве. Таким образом, разработка потоковых
шифров и КСГПСЧ тесно связаны.
Требования к обычному генератору псевдослучайных чисел
выполняются и криптографически стойким ГПСЧ, обратное неверно.
Требования к КСГПСЧ можно разделить на две группы: во-первых, они
должны проходить
статистические тесты на случайность
; а во-вторых, они
должны сохранять непредсказуемость, даже если часть их исходного или
текущего состояния становится известна
криптоаналитику
. А именно:
−
КСГПСЧ должен удовлетворять «
тесту на следующий бит
». Смысл
теста в следующем: не должно существовать
полиномиального алгоритма
,
который, зная первые
k
битов случайной последовательности, сможет
предсказать (
k
+1)-вый бит с вероятностью более 50 %.
Эндрю Яо
доказал
в
1982 году
, что генератор, прошедший «тест на следующий бит», пройдёт и
любые другие статистические тесты на случайность, выполнимые за
полиномиальное время [3].
−
КСГПСЧ должен оставаться надёжным даже в случае, когда часть или
все его состояния стали известны (или были корректно вычислены). Это
значит, что не должно быть возможности получить случайную
последовательность, созданную генератором, предшествующую получению
этого знания криптоаналитиком. Кроме того, если во время работы
используется дополнительная энтропия, попытка использовать знание о
входных данных должна быть вычислительно невозможна.
Большинство генераторов псевдослучайных чисел не подходят для
использования в качестве КСГПСЧ по обоим критериям. Во-первых,
несмотря на то, что многие ГПСЧ выдают последовательность случайную с
точки зрения разнообразных статистических тестов, они не надёжны по
отношению
к
обратной
разработке
.
Могут
быть
обнаружены
специализированные, особым образом настроенные тесты, которые покажут,
что случайные числа, получаемые из ГПСЧ не являются по-настоящему
случайными. Во-вторых, для большинства ГПСЧ возможно вычислить всю
псевдослучайную
последовательность,
если
их
состояние
скомпрометировано, что позволит криптоаналитику получить доступ не
только к будущим сообщениям, но и ко всем предыдущим. КСГПСЧ
International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30
542
разрабатываются
с
учётом
сопротивляемости
к
различным
видам
криптоанализа
.
Do'stlaringiz bilan baham: |
