Tham gia Đăng nhập
Điểm:1
Tom avatar Crypto

AES có thể thất bại PractRand không?

lá cờ tf
Tom

Mellisa O'Neil đã thử nghiệm Xoroshiro128+ với 512 terabyte (2^49 byte) dữ liệu. Và cuối cùng nó đã thất bại. AES có thất bại PractRand với đủ dữ liệu không?

Khi nào chúng ta có thể mong đợi rằng AES sẽ thất bại? Có lẽ với $2^{64}$ Dữ liệu?

144
1 + 5
aes
the default. avatar
lá cờ id
the default.
Tôi không biết liệu PractRand có thể xử lý nhiều dữ liệu như vậy hay không, nhưng tôi không mong đợi AES (chế độ CTR giả sử) bị lỗi vào khoảng 2^64: điểm bất thường thống kê duy nhất mà tôi biết là sẽ không có kết quả đầu ra trùng lặp, nhưng việc phát hiện điều này sẽ yêu cầu 2^64 bộ nhớ (và hơn 2^64 dữ liệu, để đảm bảo độ tin cậy). Có thể có một số bất thường thống kê mà không ai biết, nhưng không ai biết về chúng và dường như không chắc rằng một bài kiểm tra mục đích chung sẽ phát hiện ra chúng. Tôi không biết làm thế nào xoroshiro128+ tồn tại lâu như vậy: bit đầu ra ít quan trọng nhất của nó là LFSR của giai đoạn 128.
3
Hồi đáp
Maarten Bodewes avatar
lá cờ in
Maarten Bodewes
@thedefault. đã chỉ ra một chút vấn đề với câu hỏi của bạn: AES là mật mã khối và do đó bị giới hạn ở đầu ra 128 bit cho đầu vào 128 bit. Vì vậy, việc chỉ định chế độ hoạt động thực sự cần thiết CFB-8 hoặc AES-CBC có thể có các đặc điểm khá khác so với AES-CTR. Đối với AES-CTR, chúng tôi phải giả sử, ví dụ: giả sử bộ đếm 128 bit. Nói chung, chúng tôi hy vọng AES sẽ tồn tại trong một thời gian dài với chế độ chính xác, nhưng các thử nghiệm này có thể thất bại vào những thời điểm khác nhau do các hạt giống khác nhau.
0
Hồi đáp
Tom avatar
lá cờ tf
Tom
@thedefault. Tôi đã sai. Cô ấy đã thử nghiệm Xoroshiro128+ với việc loại bỏ toàn bộ 32 bit thấp: https://www.pcg-random.org/posts/xoroshiro-fails-truncated.html
0
Hồi đáp
Tom avatar
lá cờ tf
Tom
@MaartenBodewes Tôi đã nghĩ về việc chỉ cung cấp cho AES các số: 1,2,3,..., v.v. Tôi quên viết về nó.
0
Hồi đáp
Maarten Bodewes avatar
lá cờ in
Maarten Bodewes
Đó sẽ là *luồng khóa* của AES ở chế độ bộ đếm, giả sử rằng khóa không được sử dụng lại cho các luồng riêng biệt.
0
Hồi đáp
Điểm:0
Paul Uszak avatar Crypto
lá cờ cn
Paul Uszak

Tất nhiên $AES_{K_1} \oplus AES_{K_2}$ sẽ vượt qua vì đó là một hàm giả ngẫu nhiên. Một $AES$ không có nghĩa là được. Nhưng làm thế nào bạn có thể chứng minh điều đó bằng thực nghiệm?

PractRand được viết bởi một người (xin lỗi Chris). Nó không được sử dụng trong văn học chính thống. TRNG về cơ bản được xác thực bằng cách sử dụng dieharder hoặc NIST STS. Tính ngẫu nhiên đã được nghiên cứu kỹ nhưng PractRand thì không.Do đó, bạn không thể dựa vào một số mã tùy ý để bác bỏ toán học đã được nghiên cứu nhiều.

Và những bộ này dù sao cũng không thông minh. RC4 vượt qua tất cả chúng, và Twister vượt qua 95% trong số chúng, tuy nhiên... Và hãy xem xét những sai sót lớn trong quá trình chết chóc, nhưng chúng tôi vẫn sử dụng nó. Do đó, Tom, câu hỏi này khá là tranh luận.

0 + 4
the default. avatar
lá cờ id
the default.
Đoạn thứ hai dường như hoàn toàn vô lý đối với tôi. PractRand không trở nên tồi tệ hơn trong việc phát hiện đầu vào không ngẫu nhiên vì nó không được sử dụng trong tài liệu chính thống. 'PractRand chưa được nghiên cứu' nghĩa là gì và "bạn không thể sử dụng nó để bác bỏ toán học đã được nghiên cứu nhiều" diễn ra như thế nào từ đó? (và điều gì ngăn tôi sử dụng một số mã tùy ý để bác bỏ toán học đã được nghiên cứu nhiều? AES có thể sẽ không thất bại trong bất kỳ bài kiểm tra tính ngẫu nhiên nào trong một khoảng thời gian hợp lý, nhưng nếu có, điều đó rõ ràng có nghĩa là nó đã bị hỏng)
1
Hồi đáp
Tom avatar
lá cờ tf
Tom
@Paul Uszak Khá nhiều tác giả sử dụng PractRand để đánh giá tính ngẫu nhiên của trình tạo của họ. Tôi nghĩ rằng nó bây giờ là một trong những thử nghiệm tốt nhất, hiện đại nhất. Hơn nữa, họ đã viết tại http://pracrand.sourceforge.net, rằng Dieharder đã quá lỗi thời: "Hiện tại khá tệ, nhưng một số phần cho thấy tiềm năng sẽ rất tốt nếu cần thêm một chút công việc. Giao diện dòng lệnh có thể rất thuận tiện cho việc tạo tập lệnh. Tôi không thể xây dựng nó trên win32. Bộ thử nghiệm mặc định đặc biệt tệ. Một số thử nghiệm có vấn đề dương tính giả."
0
Hồi đáp
Tom avatar
lá cờ tf
Tom
@Paul Uszak làm thế nào để bạn biết rằng xoring hai AES sẽ vượt qua và một AES có thể không?
0
Hồi đáp
Paul Uszak avatar
lá cờ cn
Paul Uszak
@Tom Xem https://crypto.stackexchange.com/q/75535/23115. Phải mất hai (cộng) trong số chúng để tạo ra một PRF không thể phân biệt thích hợp, nhưng mọi người thường không làm điều đó.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.