Tại sao DRBG có thể che giấu những sai lệch nhỏ trong hành vi của nguồn entropy?

Trong NIST SP 800-90C, nó nói: "Những sai lệch nhỏ trong hành vi của nguồn entropy trong NRBG sẽ bị che dấu bởi đầu ra DRBG" Tại sao DRBG có thể che giấu những sai lệch nhỏ trong hành vi của nguồn entropy?

bất cứ ai có thể cung cấp cho toán học hoặc tài liệu tham khảo?

Hãy xem xét cấu trúc này từ 90C: -

HMAC-DRBG chỉ là PRNG (cố ý?) Quá phức tạp của NIST. Nhưng nó vẫn chỉ là một RNG với trạng thái bên trong lặp đi lặp lại. Khi trạng thái được khởi tạo (gieo mầm) từ nguồn entropy trực tiếp, nó sẽ chạy.

Nếu entropy 'kém' được sử dụng để khởi tạo nó, các hàm băm mật mã (SHA-256) bên trong DRBG cùng với tuyết lở các hành vi vẫn sẽ tạo ra những gì trông giống như các số ngẫu nhiên được phân phối hoàn hảo. Nó sẽ 'che dấu' entropy kém. Hãy tưởng tượng nếu hạt giống chỉ có 16 bit entropy thực. 65.536 luồng đầu ra khác nhau có thể sẽ không được chú ý (ít nhất là trong một thời gian).

Và nó có thể tiếp tục chạy ngay cả khi nguồn entropy trực tiếp chết hoặc bị ngắt kết nối. Nếu trạng thái bên trong có khả năng tăng cường bảo mật 256 bit, thì RNG thậm chí có thể quay vòng vòng (về mặt lý thuyết). Nếu DRBG là một thứ gì đó khác với trạng thái nhỏ hơn nhiều, thì việc đạp xe là một khả năng thực sự. Và từ cái này Q & A, không có thử nghiệm ngẫu nhiên nào phát hiện ra rằng những gì bạn còn lại chỉ là CSPRNG chứ không phải TRNG.

Do đó, hiệu ứng mặt nạ. Nguy hiểm.