Tham gia Đăng nhập
Điểm:1
sanscrit avatar Crypto

Ước tính entropy của các khóa bắt nguồn từ các số thực sự ngẫu nhiên

lá cờ ua
sanscrit

GHI CHÚ: Câu hỏi này dựa trên giả định của tôi rằng $X$ là một "số thực sự ngẫu nhiên" khi và chỉ khi độ dài của nó được đo bằng bit bằng với entropy của nó được đo bằng bit.Nói cách khác, khi mỗi bit của $X$ đã được tạo ra bằng cách tung đồng xu ngẫu nhiên.

Giả sử tôi có một số thực sự ngẫu nhiên $R$ có kích thước 256 bit (256 bit entropy) và một số thực sự ngẫu nhiên $S$ chiều dài $n * 256$, ở đâu $n$ là một số tự nhiên nên nó có $n * 256$ bit của entropy.

Bây giờ tôi lấy được bốn chìa khóa $T_1$ đến $T_4$ từ $R$

  • $T_1 = \text{concat}(R, \text{... n lần ...}, R)$
  • Tính toán $t_1 = \text{sha256}(R)$, $t_2 = \text{sha256}(t_1)$, ..., $t_n = \text{sha256}(t_{n-1})$, và làm $T_2=\text{concat}(t_1, ..., t_n)$.
  • $T_3$ được tính giống như trên, nhưng sử dụng HMAC thay vì sha256.
  • $T_4 = \text{hkdf_expand}(R, \text{null}, n * 256/8)$.

Cuối cùng, tôi tính toán $K_i = T_i\text{ xor }S$.

Có bao nhiêu bit entropy $K_1$, $K_2$, $K_3$$K_4$ có?

Dự đoán hạnh phúc của tôi:

  • $T1$ sẽ có nhiều entropy nhất $R$, vì phép nối bằng cách lặp lại không làm tăng entropy của đầu ra, nhưng tôi nghi ngờ rằng nó cũng sẽ không làm giảm nó.
  • $\text{sha256}$$\text{HMAC}$ được cho là bảo toàn các bit entropy của đầu vào, nhưng vì quá trình xây dựng $T_2$$T_3$ được tính toán một cách xác định từ $R$, entropi của $T_2$$T_3$ sẽ gần tương đương với $T1$.
  • Không có ý tưởng về $T_4$. Tôi đoán những lợi ích của $\text{hkdf_expand}$ kích hoạt khi đầu vào của nó không phải là một số thực sự ngẫu nhiên.

về mỗi $K_i$, Tôi không chắc. Gần đây tôi đã biết rằng XORting hai số thực sự ngẫu nhiên sẽ cho một số thực sự ngẫu nhiên, do đó, các bit của entropy của đầu ra vẫn là độ dài của nó, nhưng vì $T_i$s không còn là những con số ngẫu nhiên nữa, tôi không biết điều gì sẽ xảy ra ở đây.

Trực giác của tôi nói với tôi rằng entropy của $S$ sẽ được giữ nguyên ($n * 128$ bit), bởi vì $K_i$ tương đương với mã hóa $T_i$ sử dụng $S$ như một phím pad một lần, làm cho $T_i$ hoặc $S$ về mặt lý thuyết không thể phá vỡ, vì vậy $K_i$ vẫn là một số thực sự ngẫu nhiên.

134
0 + 0
Paul Uszak avatar
lá cờ cn
Paul Uszak
Xin chào! Tôi đang bối rối. Bạn có thể đơn giản hóa câu hỏi nếu bạn có quyền truy cập vào các số thực sự ngẫu nhiên không? Bạn đang cố làm gì vậy?
0
Hồi đáp
sanscrit avatar
lá cờ ua
sanscrit
@PaulUszak Tôi đã thay thế ghi chú cuối cùng của mình bằng dự đoán của riêng mình, ví dụ như mức độ chi tiết mà tôi mong đợi.
0
Hồi đáp
sanscrit avatar
lá cờ ua
sanscrit
@PaulUszak Có thể nói câu hỏi của tôi chủ yếu là lý thuyết.
0
Hồi đáp
fgrieu avatar
lá cờ ng
fgrieu
Sự cố A) \[snip, câu hỏi đã sửa\]. B) HMAC cần khóa. C) Nói một cách chính xác, "$K_1$, $K_2$, $K_3$ và $K_4$ có bao nhiêu bit entropy?" hỏi điều gì đó cần tranh luận, vì chuỗi bit không có entropy (hoặc không có); _quy trình_ xây dựng chúng có entropy được xác định rõ.D) Entropy của các quy trình xây dựng $K_1$, $K_2$, $K_3$ và $K_4$ phụ thuộc vào việc liệu $R$ và $S$ có độc lập hay không. Nói một cách khẳng định, đó là \[excessive hint snipped\] nhờ "Tôi tính toán $K_i=T_i\text{ xor }S$" và $T_i$ là một hàm của $R$.
1
Hồi đáp
sanscrit avatar
lá cờ ua
sanscrit
@fgrieu Ý tôi là mỗi $T_i$ phụ thuộc hoàn toàn vào $R$; và vâng, tôi biết entropy phụ thuộc vào quá trình chứ không phải con số. Tôi có thể lấy số 5 bằng cách chọn ngẫu nhiên hoặc bằng 2 + 3 trong đó 2 và 3 là các số ngẫu nhiên hoặc bằng 2 + 3 trong đó 2 và 3 là các số đã biết. Quy trình đầu tiên sẽ có 3 bit entropy, quy trình thứ 2 có lẽ cũng vậy (một phỏng đoán của tôi, vì việc thêm các số ngẫu nhiên sẽ thay đổi phân phối thống kê, nhưng đó vẫn là một quy trình ngẫu nhiên) và quy trình thứ ba 0 bit entropy.
0
Hồi đáp
sanscrit avatar
lá cờ ua
sanscrit
@fgrieu và vâng, chính xác hơn bây giờ, câu hỏi của tôi là về điều gì xảy ra với entropy của quá trình cho đến mỗi $K_i$ khi tôi sử dụng những thứ như concat, sha256 hoặc hkdf_expand trên một khóa có ít entropy ($R$) hơn sau đó với một khóa có nhiều entropy hơn ($S$), nhưng vâng, sau nhận xét đầu tiên của bạn, tôi hiểu rằng XORting không phá hủy entropy vì $S$ và $T_i$ hoàn toàn không liên quan, vì vậy thực tế là $R$ có ít entropy hơn $S$ không gây rủi ro cho tính bảo mật của $K_i$.
0
Hồi đáp
Điểm:1
fgrieu avatar Crypto
lá cờ ng
fgrieu

XOR hai số thực sự ngẫu nhiên cho một số thực sự ngẫu nhiên

Không. Phản ví dụ: $S$ ngẫu nhiên thống nhất, $S\oplus S$ là chuỗi bit hoàn toàn bằng không có cùng kích thước với $S$, và không ngẫu nhiên đều (trừ khi $S$ trống).

Những gì nắm giữ là: XOR hai sống độc lập các giá trị có cùng kích thước, ít nhất một trong số đó là một số thực sự ngẫu nhiên, mang lại một số thực sự ngẫu nhiên.

Trong bài tập, $S$ là ngẫu nhiên thống nhất, và $T_i$ chỉ phụ thuộc vào $R$ (và một khóa không xác định cho HMAC trong trường hợp $T_3$, nhưng hãy bỏ qua điều đó), và mọi thứ đều hướng đến $R$ độc lập với $S$. Như vậy $T_i$ độc lập với $S$.

Ở trên, kích thước của sự vật, và $K_i$ được xây dựng như $K_i=T_i\oplus S$, đủ để kết luận về

có bao nhiêu bit entropy $K_1$, $K_2$, $K_3$$K_4$

và điều này được để lại như một bài tập cho người đọc.

0 + 0
sanscrit avatar
lá cờ ua
sanscrit
Cảm ơn bạn. Tôi có thể kết luận rằng vì tôi đã có các số thực sự ngẫu nhiên làm đầu vào, nên để mở rộng $R$ thành $T_i$, các hoạt động phức tạp hơn và tốn kém về mặt tính toán hơn như sha256 hoặc hkdf_expand không mang lại cho tôi điều gì (vì tôi sẽ XOR nó với $S $ sau) và chỉ cần lặp lại $R$ (để xây dựng $T_1$) là đủ?
0
Hồi đáp
fgrieu avatar
lá cờ ng
fgrieu
@sancrit. Vấn đề là bất kể quy trình xây dựng $T_i$ có cùng kích thước với $S$ và độc lập với $S$ ngẫu nhiên thống nhất (bao gồm, xây dựng $T_i$ như một chức năng của $R$ độc lập với $S$ ), người ta có thể kết luận về entropy trong $K_i=T_i\oplus S$. Đó không phải là chính xác những gì bạn nêu ở trên. Cụ thể, bạn không quan tâm rằng $R$ là ngẫu nhiên đều, chỉ cần nó độc lập với $S$ (và $S$ là ngẫu nhiên đều).
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.