Lấy số ngẫu nhiên từ số ngẫu nhiên

Nếu tôi có một "số thực sự ngẫu nhiên" $K$ của $L$ bit (bất kể "ngẫu nhiên thực sự" có nghĩa là gì... đó có phải là giá trị từ phân phối bình thường, một số thực sự ngẫu nhiên hay chỉ các phân phối thống nhất mới được coi là "ngẫu nhiên thực sự"?) và "số thực sự ngẫu nhiên" $T$ của $M \le L$ chút ít,

thuật toán số học/bitwise nào trong số $K$ và $T$ có thể tạo ra các số thực sự ngẫu nhiên mới không? Nếu $M=L$, Là $K + T$ hoặc $K\ xor\ T$ một số thực sự ngẫu nhiên? hoặc nếu $M\lt L$, làm các phương pháp như HKDF-mở rộng-nhãn, HKDF-trích xuất, hoặc chỉ sha256 trên $K$ và $T$ tạo ra các số thực sự ngẫu nhiên? (ví dụ: chia $K$ Trong $L/M$ khối của $M$ bit, hãy áp dụng một số phương pháp này và ghép các đầu ra của chúng).

Tôi muốn biết thêm về những thuộc tính nào được yêu cầu cho một thuật toán xác định để tạo ra các số thực sự ngẫu nhiên miễn là đầu vào của nó là các số thực sự ngẫu nhiên.

Một vài dự đoán (giả sử $M=L$ để đơn giản), $K + T$ là một số thực sự ngẫu nhiên, nhưng $K\ bitwise\_and\ T$ không phải.

GHI CHÚ: Câu hỏi của tôi là về ngữ cảnh của mật mã pad một lần. Tôi muốn lưu trữ văn bản mật mã và $K$ một cách riêng biệt và chỉ chuyển nó qua một kênh bảo mật khi cần giải mã, nhưng thay vì chuyển $K$ chính nó, có thể rất dài vì nó phải khớp với độ dài của bản rõ (có thể rất dài), tôi đang tính toán $K$ bằng nguồn gốc từ $J$ (có kích thước $L$) và $T$ kích thước $M$, cả hai đều là số ngẫu nhiên. $J$ được lưu trữ phía máy khách, $T$ được lưu trữ phía máy chủ và được tìm nạp qua một kênh an toàn và $K$ cuối cùng được dẫn xuất phía máy khách và bị loại bỏ khỏi bộ nhớ ngay sau khi giải mã. Câu hỏi của tôi ở trên cuối cùng là về việc sử dụng hàm phái sinh nào để $K$ không thể phân biệt được với một số thực sự ngẫu nhiên giả sử $J$ và $T$ thực sự là những con số ngẫu nhiên.

Xét về các toán tử số học bit/bitwise trên các số ngẫu nhiên độc lập được phân phối đồng đều (mật mã thường sử dụng ngẫu nhiên thống nhất, nhưng có những trường hợp ngoại lệ, ví dụ: trong mật mã mạng), XOR đưa ra phân phối đồng đều, + phân phối tam giác VÀ đưa ra phân phối trong đó $P(N)=0,25^{w(N)}0,75^{L-w(N)}$ ở đâu $w$ là trọng lượng Hamming, sản phẩm là phức tap, sự khác biệt là hình tam giác, OR cung cấp phân phối như AND nhưng với vai trò của $w(N)$ và $L-w(N)$ ngược lại, NOR có cùng phân phối với AND, NAND có cùng phân phối với OR.

Tác động của các hàm băm mật mã đối với đầu vào đồng nhất thường không được biết là đồng nhất, nhưng thường được mô hình hóa như vậy.

Đối với bộ đệm một lần, bạn sẽ muốn phân phối đồng đều trên tất cả các khóa có cùng độ dài với văn bản gốc. Một hàm băm phổ quát sẽ đạt được điều này, nhưng hãy đảm bảo rằng các đầu vào là bí mật, được phân phối phù hợp và chỉ được sử dụng một lần.

Tất cả các thuật toán bạn đã đề cập (HKDF và SHA-256) là giả ngẫu nhiên. Nói chung, bất kỳ cách tiếp cận nào bạn sẽ sử dụng ở đây để mở rộng một số số thực sự ngẫu nhiên thành các chuỗi khác cũng là giả ngẫu nhiên. Đó là bởi vì các thuật toán này mang tính xác định: nếu bạn đặt cùng một dữ liệu (entropy), thì bạn sẽ nhận được kết quả tương tự.

Các số ngẫu nhiên thực sự đến từ một nguồn vật lý và không mang tính quyết định. Đó có thể là sự phân rã phóng xạ, nhiễu nhiệt, bộ tạo dao động tự do hoặc các loại nguồn khác. Bởi vì những thứ này không nhất thiết tạo ra số lượng 1 và 0 bằng nhau và lỗi không phải là không xác định, nên thường có một số loại lọc và xử lý, có thể là một thuật toán mã hóa như AES-CBC-MAC hoặc SHA-256 hoặc một số loại loại bỏ hoặc giảm sai lệch như khử sai lệch XORing hoặc Von Neumann hoặc cả hai.

Nếu bạn đã sử dụng TRNG và tạo ra các bit ngẫu nhiên, bạn có thể XOR chúng với nhiều bit hơn từ TRNG và nhận được cùng mức bảo mật, nhưng điều này thật ngớ ngẩn vì bạn đang sử dụng gấp đôi số bit từ TRNG mà không đạt được mức bảo mật nào. Tương tự, bạn có thể thực hiện phép cộng mô-đun trên các byte có hai giá trị TRNG, nhưng một lần nữa, điều này có cùng giới hạn. Bitwise AND thiên vị đầu ra, do đó, nó sẽ làm suy yếu tính bảo mật.

Vì bất kỳ thuật toán nào để mở rộng đầu ra của TRNG sẽ là giả ngẫu nhiên thay vì thực sự ngẫu nhiên, nên về cơ bản, những gì bạn đang đề xuất nghe giống như mật mã luồng với khóa chia sẻ trước dựa trên TRNG. Tuy nhiên, đó là hoàn toàn tốt như một thiết kế! Miễn là bạn chọn một mật mã dòng an toàn, thì đó là một thiết kế hợp pháp và an toàn. Tuy nhiên, mật mã dòng không phải là bộ đệm dùng một lần và không được chứng minh là an toàn, nhưng chúng thuận tiện hơn rất nhiều khi sử dụng trong cuộc sống thực.

Nếu bạn chọn thực hiện phương pháp này, tôi thực sự khuyên bạn nên chọn một thư viện hiện có, được thiết kế tốt để xây dựng phương pháp này. TLS có hỗ trợ cho các khóa chia sẻ trước và tất nhiên có những thư viện khác cũng có thể thực hiện việc này cho các tin nhắn.