Điểm:4

Crypto

Sử dụng bộ mã hóa LFSR để trích xuất ngẫu nhiên nguồn bán ngẫu nhiên

DurandA

19:28, 11/11/2022

Tôi đang sử dụng thanh ghi dịch chuyển phản hồi tuyến tính (LFSR) trong một người xáo trộn cấu hình như một trình trích xuất ngẫu nhiên cho một nguồn ngẫu nhiên yếu. Nguồn này là bán ngẫu nhiên (aka. nguồn Santha-Vazirani): các bit là tương quan và sai lệch (với entropy tối thiểu ~ 0,5 mỗi bit). Dưới đây là một ví dụ về LFSR trong cấu hình bộ mã hóa (cấu hình này là 12 bit trong khi tôi đang sử dụng thanh ghi 32 bit) với bộ lấy mẫu xuống:

Nguồn entropy ngẫu nhiên yếu cung cấp trực tiếp cho bộ mã hóa LFSR và đầu ra được lấy mẫu rất thấp (một bit đầu ra được lấy cho mỗi ví dụ: 1000 bit yếu). Phương pháp này đã được đề xuất ở đây. Tuy nhiên, tôi không tìm thấy các ví dụ trong đó các bộ mã hóa LFSR được sử dụng làm bộ trích xuất ngẫu nhiên. Do đó, tôi có các câu hỏi sau:

Việc sử dụng một bộ mã hóa để trích xuất ngẫu nhiên dữ liệu bán ngẫu nhiên có phải là một cách sử dụng hợp lệ không? Làm thế nào để nó so sánh với các vắt khác? Ví dụ, bộ chiết von Neumann chỉ phù hợp với đầu vào sai lệch, độc lập (không tương quan) và là thời gian tuyến tính.
Làm cách nào để tính toán lượng lấy mẫu/số thập phân được yêu cầu ở đầu ra của LSFR để đầu ra phù hợp cho việc sử dụng mật mã (được ước tính về entropy tối thiểu đầu vào)?
Việc lấy toàn bộ thanh ghi cùng một lúc (ví dụ: đầu ra 32 bit cứ sau 32000 đầu vào yếu) thay vì 1 bit cho mỗi 1000 đầu vào có ý nghĩa gì?

bối cảnh: LFSR được sử dụng trong TRNG sau:

227

1 + 6

Sự hỗn loạn

ngẫu nhiên

lsr

trong

Paul Uszak

20:26, 11/11/2022

Bạn đang lấy mẫu gì?

Hồi đáp

DurandA

23:28, 11/11/2022

@PaulUszak XORed đầu ra từ nhiều bộ tạo dao động vòng.

Hồi đáp

Fractalice

09:38, 14/11/2022

Không quen thuộc với phần cứng, điểm yếu của bộ tạo dao động vòng là gì? Sự phụ thuộc của các mẫu kết quả hoặc sai lệch từ 50%?

Hồi đáp

DurandA

04:59, 16/11/2022

@Fractalice Tín hiệu được lấy mẫu từ các bộ tạo dao động có cả đặc tính định kỳ và sai lệch mạnh. Bạn có thể thấy cả hai trong [những hình ảnh nhiễu này](https://docs.google.com/document/d/1srb3rwd-MhxEhMsq1V8GMYIejlq99ZZWdcyAHJvAths/edit?usp=sharing) mà tôi đã tạo. Trong hình ảnh 4x3-giai đoạn, chúng ta có thể phân biệt một số mẫu đường thẳng là hệ quả trực tiếp của tính tuần hoàn/thiếu jitter. So với dữ liệu ngẫu nhiên thực sự, bộ tạo dao động tạo ra nhiều pixel trắng hơn, nghĩa là độ lệch về 1.

Hồi đáp

Paul Uszak

22:54, 19/12/2022

@DurandA Bạn không thể làm điều đó. Mắt thường không thể phân biệt giữa tự tương quan (R) của $R \leqslant 10^{-3}$ và $R > 10^{-3}$. Đây là những giới hạn tương quan thường được chấp nhận.

Hồi đáp

DurandA

23:53, 27/12/2022

@PaulUszak Tôi nghĩ rằng những hình ảnh nhiễu này có thể giúp xây dựng trực giác khi mẫu rất rõ ràng. Tất nhiên, điều ngược lại là không đúng và điều này không thể được sử dụng cho bất kỳ đánh giá entropy nào.

Hồi đáp

b degnan

10:08, 15/08/2023

@DurandA như bạn có thể chứng minh rằng jitter trong bộ tạo dao động vòng là một chức năng của nhiễu bắn kênh 2 chiều (không phải Johnson) trên mỗi công tắc. Bạn chỉ cần một RO với mẫu chậm hơn đáng kể (trong giới hạn tiếng ồn). Trong silicon, điều này ổn và nếu bạn thực hiện các mô phỏng monte carlo, bạn có thể thấy hành vi này, nhưng bạn luôn có thể đo lường nó.

Hồi đáp

Điểm:0

Crypto

Paul Uszak

20:23, 11/11/2022

TRN: không.

STT Xáo trộn ~ hoán vị. Đó không phải là bảo mật, đó là obfuscation.
Đây là mấu chốt của câu hỏi của bạn và hoàn toàn chủ quan. Hầu hết ở đây sẽ biết rằng tôi là người ủng hộ mạnh mẽ miếng đệm dùng một lần, nhưng. Chia sẻ thông tin chi tiết về TNRG của bạn. 50Mhz? Không. Không có TRNG thương mại nào làm điều đó vì bạn sẽ gặp hiện tượng tự tương quan. Chia sẻ...
Không liên quan :-).

Chúng ta có thể làm việc này, nhưng $H_{\infty}$ sẽ giảm nhiều.

0 + 8

DurandA

01:28, 12/11/2022

Tôi sẽ cập nhật câu hỏi với thiết kế TRNG (về cơ bản là [this](https://crypto.stackexchange.com/q/89709/39499) nhưng với LFSR 32 bit trong cấu hình bộ mã hóa).Tuy nhiên, tôi không hiểu phản ứng tiêu cực của bạn về tần số lấy mẫu 50 Mhz từ nguồn entropy yếu. Tần số này có liên quan như thế nào đến tính bảo mật của hệ thống miễn là bộ trích xuất ngẫu nhiên thu thập đủ entropy?

Hồi đáp

Paul Uszak

04:40, 12/11/2022

Phản ứng tiêu cực: kinh nghiệm.. Máy dao động vòng nổi tiếng là ổn định. Tôi đã thấy tỷ lệ thập phân là 1024. Lý do duy nhất chúng tôi tạo ra chúng là vì nó dễ sử dụng silicon.

Hồi đáp

DurandA

03:44, 16/11/2022

"Đó không phải là bảo mật, đó là sự che giấu": tính bảo mật của hệ thống không phụ thuộc vào kiến thức về cấu hình LFSR. Như được hiển thị bởi @fgrieu [tại đây](https://crypto.stackexchange.com/a/89712/39499), việc thêm một LFSR khác trong cấu hình bộ giải mã sẽ tiết lộ đầu vào ban đầu—có thể khai thác độ lệch để dự đoán đầu ra trong tương lai. Thay vào đó, hệ thống dựa vào số thập phân ở đầu ra LFSR để trích xuất ngẫu nhiên.Cho rằng bạn biết thiết kế hoàn chỉnh của hệ thống và các giá trị được tạo mới nhất, bạn có cơ hội tốt hơn ngẫu nhiên để dự đoán (các) giá trị trong tương lai không?

Hồi đáp

Paul Uszak

12:51, 16/11/2022

@DurandA Tính bảo mật của TRNG không đến từ thiết kế 'ẩn'. Nó đến từ một số tài sản vật chất bên trong mà bạn khai thác. Chỉ có thể mô tả hiện tượng rung pha/độ trễ lan truyền của bộ dao động vòng chỉ được mô tả ở cấp độ vĩ mô theo thống kê. Nếu không có sai lệch (phân phối đồng đều, không phải Gaussian), bạn sẽ an toàn.

Hồi đáp

Paul Uszak

12:52, 16/11/2022

Bạn đã đo entropy mỗi lần đánh dấu tại Sampler chưa? Đó là phép đo quan trọng.

Hồi đáp

DurandA

14:44, 16/11/2022

"_Nó xuất phát từ một số thuộc tính vật lý bên trong mà bạn khai thác._" Vì bộ tạo dao động vòng chỉ mang tính ngẫu nhiên yếu, nên cần phải "trích xuất" entropy bằng cách sử dụng bộ trích xuất ngẫu nhiên sẽ tạo ra đầu ra nhỏ hơn nhiều. Trong trường hợp của tôi, tôi tích lũy 1000 bit ngẫu nhiên yếu từ bộ dao động vòng để tạo ra 1 bit. Câu hỏi đặt ra là liệu LFSR có phù hợp với nhiệm vụ này hay không và nó so sánh với ví dụ như thế nào. một hàm băm an toàn.

Hồi đáp

DurandA

00:09, 18/11/2022

Có, entropy tối thiểu là ~0,54/bit (đã chỉnh sửa) theo `ea_non_iid` từ SP800-90B. Tôi biết có [một số tranh cãi](https://crypto.stackexchange.com/questions/83882/whats-wrong-with-nist-sp-800-90b) về thử nghiệm này nhưng tôi không biết có kỹ thuật nào tốt hơn để ước tính entropy tối thiểu mà không cần máy hiện sóng đắt tiền để mô tả jitter.

Hồi đáp

DurandA

01:43, 19/11/2022

Tôi hiểu rõ cách thiết kế `[biased independant source] -> [LFSR]` có thể bị khai thác. Thế còn `[nguồn tương quan sai lệch] -> [LFSR] -(tương quan chủ yếu là thống nhất)-> [số thập phân]` như được đề xuất thì sao?

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Use of scrambler LFSR for randomness extraction of semi-random source

TH: การใช้ LFSR ของ scrambler สำหรับการสุ่มแยกแหล่งที่มากึ่งสุ่ม

RO: Utilizarea scrambler LFSR pentru extragerea aleatorie a sursei semi-aleatorie

RU: Использование скремблера LFSR для выделения случайности полуслучайного источника

VI: Sử dụng bộ mã hóa LFSR để trích xuất ngẫu nhiên nguồn bán ngẫu nhiên

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.