Алгоритм генератора псевдослучайных чисел. Генераторы псевдослучайных последовательностей
Отметим, что для создания РРСП используется три типа генераторов: табличные, физические генераторы и генераторы ПСП.
Примером табличного генератора может служить опубликованная в 1955 году компанией Rand Corporation таблица объемом 106 случайных цифр.
Физические генераторы получили широкое распространение после создания микропроцессоров, имеющие невысокую стоимость при условии достаточной производительности. На рис. 4.1 представлен физический генератор случайных данных ORB, реализованный компанией APA Consulting на микроконтроллере семейства PIC12C67X (8-ми контактный корпус SOIC размером 5.38.1мм).
Рис. 4.1. Генератор случайных чисел ORB
В основу работы данного генератора положен принцип измерения напряжения на конденсаторе, который заряжается и разряжается в соответствии с некоторым потоком бит.
Первые два типа генераторов наряду с хорошими статистическими свойствами имеют ряд недостатков, к главным из которых можно отнести сложность технической реализации, невысокое быстродействие и высокую стоимость.
В силу названных причин при построении программных и программно-аппаратных средств криптографической защиты информации широкое распространение получили генераторы ПСП
Наиболее
простым программным датчиком
псевдослучайных чисел является линейный
конгруэнтный генератор
(ЛКГ), который описывается рекуррентным
уравнением вида
,
где
– случайное начальное значение,
– множитель,
– приращение,
–
модуль.
Период
выходной последовательности такого
генератора не превышает
,
максимальное значение достигается при
правильном выборе параметров
,
а именно, когда:
– числа
и
взаимно просты: НОД
;
–
кратно
любому простому
,
делящему
;
–
кратно
4, если
кратно 4.
В приведен список констант для ЛКГ, обеспечивающих максимальный период последовательности и, что не менее важно, соответствующие последовательности проходят статистические тесты.
Для
реализации ЛКГ на персональных компьютерах
с учетом их разрядной сетки нередко
используется модуль
.
При этом наиболее качественные
статистические свойства ПСП достигаются
для константы
.
По сравнению с другими видами генераторов ПСП данный вид обеспечивает высокую производительность за счет малого числа операций для создания одного псевдослучайного бита.
Недостатком ЛКГ в плане их использования для создания поточных шифров является предсказуемость выходных последовательностей.
Эффективные атаки на ЛКГ были предложены Joan Boyar.
Ей принадлежат методы атак на квадратичные и кубические генераторы: и.
Другие исследователи обобщили результаты работ Boyar на случай общего полиномиального конгруэнтного генератора. Stern и Boyar показали, как взломать ЛКГ, даже если известна не вся последовательность.
Wishmann и Hill, а позже Pierre L’Ecuger изучили комбинации ЛКГ. Усложнения не являются более стойкими криптографически, но имеют большие периоды и лучше ведут себя на некоторых критериях случайности.
Регистры сдвига с линейной обратной связью (Linear Feedback Shift Registers – LFSR) включают собственно регистр сдвига и схему вычисления функции обратной связи (tap sequence) – см. рис. 4.2.
Рис. 4.2 Регистр сдвига с линейной обратной связью (LFSR)
На схеме содержимое регистра – последовательность битов – сдвигается с приходом тактового импульса (clock pulse) на один разряд вправо. Бит самого младшего разряда считается выходом LFSR в данном такте работы. Значение самого старшего разряда при этом является результатом сложения по модулю 2 (функция XOR) разрядов (точек съема) обратной связи. Генерируемая последовательность называется линейной рекуррентой.
Теоретически,
-битный
LFSR может сгенерировать псевдослучайную
последовательность с периодом
бит.
Такие LFSR называются регистрами
максимального периода .
Для
этого регистр сдвига должен побывать
во всех
ненулевых внутренних состояниях.
Одна
и та же рекуррента может быть сгенерирована
регистрами разной длины. Предположим,
что среди подобных регистров наш
-битный
LFSR обладает минимальной длиной.
Функции
обратной связи регистра можно сопоставить
полином
степени не выше
с коэффициентами из поля вычетов по
модулю два, состоящий из одночленов
вида
,
где
- множество номеров точек съема обратной
связи.
Полином
называетсяминимальным
полиномом
соответствующей рекуррентной
последовательности.
Для
каждой конечной (или периодической)
последовательности
можно указать LFSR, который, при некотором
начальном заполнении, порождает эту
последовательность.
Среди
всех таких регистров, существует регистр
минимальной длины
.
Величина
называетсялинейной
сложностью
последовательности
.
Напомним, что полином называется неприводимым, если он не может быть выражен как произведение двух полиномов меньшей степени, отличных констант.
Примитивный
полином
степени
над полем вычетов по модулю два – это
неприводимый полином, который делит
,
но не делит
для любых
:
.
Теорема. Для того, чтобы последовательность, порожденная LFSR имела максимальный период, необходимо и достаточно, чтобы ее минимальный полином, был примитивным полиномом по модулю 2.
Список практически применимых примитивных полиномов приведен в . Например, примитивным полиномом является .
Набор
показателей
означает, что, взяв регистр сдвига длины
32 и генерируя бит обратной связи путем
сложения 7-го, 5-го, 3-го, 2-го и 1-го бита по
модулю 2, мы получим LFSR максимальной
длины (с
состояниями).
Приведем программу на языке С для последовательности генерируемой данным LFSR:
Static unsigned long ShiftRegister=1; //любое ненулевое начальное заполнение
ShiftRegister = ((((ShiftRegister>>31)
^(ShiftRegister>>6)
^(ShiftRegister>>4)
^(ShiftRegister>>2)
^(ShiftRegister>>1)
^(ShiftRegister))
| ShiftRegister>>1);
return ShiftRegister & 0x00000001;
Заметим,
если
–
примитивный полином, то
– также примитивный. Кроме того, если
полином
примитивный, то
– примитивный. Если полином
примитивный,
то– примитивный и т.п.
Примитивные трехчлены особенно удобны, т.к. складываются только 2 бита регистра сдвига, но при этом они и более уязвимы к атакам.
Вообще говоря, LFSR – удобны для технической реализации, но с точки зрения криптографической стойкости, обладают слабостями.
Последовательные биты линейной рекурренты линейно зависимы, что делает их бесполезными для шифрования.
Достаточно
последовательных битов рекурренты,
чтобы определить множество номеров
точек съема обратной связи.
Большие случайные числа, сгенерированные из последовательных битов LFSR, сильно коррелированны. Тем не менее, LFSR достаточно часто используются в качестве элементов более сложных алгоритмов формирования шифрующей ключевой последовательности.
Существует еще ряд генераторов ПСП (в т.ч. генераторы Галуа), которые по ряду причин не нашли широкого применения в криптографических системах. Наиболее эффективные решения были получены на основе составных генераторов .
Идея
построения составного генератора
базируется на том факте, что комбинация
двух и более простых генераторов ПСП,
в случае правильного выбора объединяющей
функции (в т.ч. сложение по модулям,
и
др.), дает генератор с улучшенными
свойствами случайности, и, как следствие,
с повышенной криптографической
стойкостью.
В случае создания криптографически стойкого генератора ПСП легко решается вопрос создания потоковых шифров. Выход таких ПСП неотличим (точнее, должен быть неотличим) от РРСП. Два генератора всегда могут быть синхронно запущены из одного вектора начального состояния, который намного короче передаваемого сообщения, что выгодно отличает эту схему от шифра Вернама.
Известно 4 подхода к конструированию соответствующих генераторов:
1) системно-теоретический подход;
2) сложностно-теоретический подход;
3) информационно-теоретический подход;
4) рандомизированный подход.
Эти подходы различаются в своих предположениях о возможностях криптоаналитика, определении криптографического успеха и понятия надежности.
В случае системно-теоретического подхода криптограф создает генератор ключевого потока, который обладает поддающимися проверке свойствами, включая длину периода выходной последовательности, статистическое распределение потока бит, линейную сложность преобразования и т.д.
С учетом известных методов криптоанализа криптограф оптимизирует генератор против этих атак.
На основе такого подхода Рюппелем сформулирован следующий набор критериев для потоковых шифров.
1.Большой период выходной последовательности, отсутствие повторений.
2. Высокая линейная сложность, как характеристика нашего генератора через регистр LFSR минимальной длины, который может сгенерировать такой же выход.
3. Неотличимость от РРСП по статистическим критериям.
4. Перемешивание: любой бит ключевого потока должен быть сложным преобразованием всех или большинства бит начального состояния (ключа).
5. Рассеивание: избыточность во всех подструктурах алгоритма работы генератора должна рассеиваться.
6. Критерии нелинейности преобразований: в соответствии с некоторой метрикой расстояние до линейных функций должно быть достаточно большим; требуется лавинообразное распространения ошибок в случае изменения одного бита аргумента и др.
Практика подтверждает целесообразность применения указанных критериев не только для анализа и оценки потоковых шифров, созданных в рамках системно-теоретического подхода, но и для любых потоковых и блочных шифров.
Основная проблема подобных криптосистем заключается в том, что для них трудно доказать какие-либо факты об их криптостойкости, так как для всех этих критериев не была доказана их необходимость или достаточность.
Потоковый шифр может удовлетворять всем этим принципам и все-таки оказаться нестойким, т.к. стойкость по отношению к заданному набору криптоаналитических атак ничего не гарантирует.
Примером
удачного построения составного генератора
с точки зрения повышения линейной
сложности является каскад Голмана (рис.
4.3). Каскад Голмана включает несколько
регистров сдвига LFSR. Первый регистр
движется равномерно с шагом 1. Сдвиг
каждого последующего регистра управляется
предыдущим так, что изменение состояния
последующего регистра в такте
происходит, если в такте
с предыдущего регистра снимается 1.
Иначе, состояние последующего регистра
не изменяется.
Если
все LFSR – длины
,
то линейная сложность системы с
регистрами равна
.
Рис. 4.3. Каскад Голлмана
Типичным примером комбинирования регистров сдвига является схема чередующегося «старт-стоп» генератора (Alternating Stop-and-Go Generator).
У этого генератора большой период и большая линейная сложность.
В «старт-стоп» генераторе (рис. 4.4) используется три линейных регистра сдвига различной длины. LFSR-2 меняет состояние, если выход LFSR-1 равен 1; LFSR-3 меняет состояние в противном случае. Результат генератора есть сложение по модулю 2 выходов регистров LFSR-2, LFSR-3.
Рис. 4.4. Чередующийся старт-стопный генератор
Применяя сложностно-теоретический подход, криптограф пытается доказать стойкость генератора, используя теорию сложности.
Основу решений при этом подходе составляют генераторы, базирующиеся на понятии о днонаправленн ой функции .
Значение
однонаправленной функции
легко
вычислимо,
но
почти
для всех
значений
практически невозможно определить
соответствующее значение
.
Иначе, если
–
вычислительная сложность получения
,
а
–
вычислительная сложность нахождения
,
то
.
По
общему мнению, одним из кандидатов на
однонаправленную
функцию может быть показательная функция
в некотором конечном поле
,
где
.
Нетрудно
видеть, что возведение в степень можно
ускорить за счет свойств ассоциативности.
Например,
,
что позволяет вычислить степень за
четыре шага, вместо восьми.
Обратная операция – задача нахождения показателя степени по значению степенной функции (дискретный логарифм), в общем случае, пока не может быть решена лучше, чем с помощью оптимизированных методов перебора.
При
соответственно выбранной характеристике
и степени расширения поля
эта задача при современном развитии
компьютерной техники вычислительно
неразрешима.
Примером
генератора на основе однонаправленной
функции может служить генератор на
основе алгоритма RSA с параметрами
вида.
Здесь
,
где
– секретные большие, неравные простые
числа,
– показатель степенной функции, НОД
,
.
Результат
работы одного такта генератора – младший
бит
.
Стойкость этого генератора не ниже
стойкости RSA. Если
достаточно
большое, то генератор обеспечивает
практическую стойкость.
BBS – другой пример генератора, построенного на сложностном подходе (предложен Blum, Blum и Shub).
Это
один из простых и эффективных алгоритмов.
Математическая теория этого генератора
– квадратичные вычеты по составному
модулю
.
Параметры
генератора: секретные большие, неравные
простые числа,
,
такие, что,
;
число
;
– случайный секретный вычет помодулю
.
Первым
шагом вычисляется начальное состояние
.
В
основном цикле елемент ПСП з номером
равен,
т.е
-ым
псевдослучайным числом является младший
бит числа
.
Заметим,
что алгоритм можно использовать для
шифрования файлов с произвольным
доступом, если, кроме
,
ввести секретный параметр
,
поскольку тогда
можна вычислять через
,
потому, что,
где
.
Это свойство позволяет использовать BBS-генератор для работы с файлами произвольного доступа (random-access).
Число
можно распространять свободно, для того
чтобы каждый абонент сети смог
самостоятельно сгенерировать необходимые
биты. При этом если криптоаналитик не
сможет разложить на простые множители
число
,
он не сможет предсказать следующий бит,
даже в вероятностном смысле, например,
«с вероятностью 51% следующий бит равен
1».
Отметим, что подобные генераторы очень медленные, для их практической реализации необходимы специальные процессоры.
Следующие два подхода, информационно-теоретический и рандомизированный , не нашли широкого практического применения.
С точки зрения информационно-теоретического похода самым лучшим средством в борьбе с криптоаналитиком, имеющим бесконечные вычислительные ресурсы и время, является одноразовая лента или одноразовый блокнот.
В случае рандомизированного подхода задача заключается в том, чтобы увеличить число бит, с которыми необходимо работать криптоаналитику (не увеличивая при этом ключ). Этого можно достичь путем использования больших случайных общедоступных строк.
Ключ будет обозначать, какие части (или биты) этих строк необходимо использовать для зашифрования и расшифрования. Тогда криптоаналитику придется использовать метод тотального перебора вариантов (грубой силы) на случайных строках.
Стойкость этого метода может быть выражена в терминах среднего числа бит, которые придется изучить криптоаналитику, прежде чем шансы определить ключ станут выше простого угадывания.
Ueli Maurer описал такую схему. Вероятность вскрытия такой криптосистемы зависит от объема памяти, доступного криптоаналитику (но не зависит от его вычислительных ресурсов).
Чтобы
эта схема приобрела практический вид,
требуется около 100 битовых последовательностей
по
битов каждая. Оцифровка поверхности
Луны – один из способов получения такого
количества бит.
В заключение отметим, что для построения генератора ПСП необходимо получить несколько случайных битов . Наиболее простой способ: использовать наименьший значимый бит таймера компьютера.
С помощью такого способа нельзя получать много бит, т.к. каждый вызов процедуры генерации бита может занимать четное число шагов таймера, что обязательно скажется на свойствах последовательности.
Самый лучший способ получить случайное число – это обратиться к естественной случайности реального мира – шумы в результате переходных процессов в полупроводниковых диодах, тепловые шумы высокомных резисторов, радиоактивный распад и т.д.
В принципе, элемент случайности есть и в компьютерах:
– время дня;
– загруженность процессора;
– время прибытия сетевых пакетов и т.п.
Проблема не в том, чтобы найти источники случайности, но в том, чтобы сохранить случайность при измерениях.
Например, это можно делать так: найдем событие, случающееся регулярно, но случайно (шум превышает некоторый порог).
Измерим
время
между первым событием и вторым, затем
– время
между вторым событием и третьим.
Если
,
то полагаем выход генератора равным 1;
если
,
то выход равен 0. При необходимости,
процесс продолжим далее.
Существенной проблемой систем генерации случайных данных является наличие отклонений и корреляций в сгенерированной последовательности. Сами процессы могут быть случайными, но проблемы могут возникнуть в процессе измерений. Как с этим бороться?
Пусть
вероятность появления нуля смещена на
,
т.е. может быть записана как
.
Сложение
по
двух одинаково распределенных независимых
битов даст:.
При сложении четырех битов получим:
.
Процесс сходится к равновероятному
распределению битов.
Другой
подход. Пусть распределение единиц и
нулей в последовательности есть величины
и
соответственно.
Преобразуем последовательные пары битов:
– если это одинаковые биты, то отбросим их и рассмотрим следующую пару;
– если биты различны, то в качестве выходного значения возьмем первый бит.
Данный метод позволяет решить проблему смещения, сохранив свойства случайности источника (с некоторой потерей в объеме данных).
Потенциальная проблема обоих методов в том, что при наличии корреляции между соседними битами, данные методы увеличивают смещение. Один из способов избежать этого – использовать различные источники случайных чисел и суммировать биты подписанных друг под другом последовательностей по вертикали.
Факт наличия смещения у генератора случайных чисел, вообще говоря, не всегда означает его непригодность.
Например,
допустим, что для генерации 112-битного
ключа для алгоритма «тройной» DES (Triple
DES, см. далее) используется генератор со
смещением к нулю:
,
(энтропия
0.99277
на один бит ключа по сравнению с 1 для
идеального генератора).
В
этом случае нарушитель может оптимизировать
процедуру тотального перебора ключей
за счет поиска ключа начиная с наиболее
вероятного значения
и заканчивая наименее вероятным
.
Вследствие наличия смещения, можно
ожидать нахождения ключа в среднем за
попыток. Если бы смещения не было, то
потребовалось бы
попыток.
Генерирование случайных последовательностей с заданным вероятностным законом и проверка их адекватности - одни из важнейших проблем современной криптологии. Генераторы случайных последовательностей используются в существующих криптосистемах для генерации ключевой информации и задания ряда параметров криптосистем. Научная и практическая значимость этой проблемы настолько велика, что ей посвящены отдельные монографии в области криптологии, организуются разделы в научных журналах "Journal of Cryptology", "Cryptologia" и специальные заседания на международных научных конференциях "Eurocrypt", "Asiacrypt", "Crypto" и др.
В начале XX века случайные последовательности имитировались с помощью простейших случайных экспериментов: бросание монеты или игральной кости, извлечение шаров из урны, раскладывание карт, рулетка и т. д. В 1927 г. Л. Типпетом впервые были опубликованы таблицы, содержащие свыше 40000 случайных цифр, "произвольно извлечённых из отчётов о переписи населения". В 1939 г. с помощью специально сконструированного механического устройства - генератора случайных чисел, М. Дж. Кендалл и Б. Бэбингтон-Смит создали таблицу, включающую 10 5 случайных цифр. В 1946 г. американский математик Джон фон Нейман впервые предложил компьютерный алгоритм генерации случайных чисел. В 1955 г. компания RAND Corporation опубликовала получившие широкую популярность таблицы, содержащие 10 6 случайных цифр, сгенерированных на ЭВМ.
В настоящее время спрос на генераторы случайных последовательностей с заданными вероятностными распределениями, а также на сами случайные последовательности настолько возрос, что за рубежом появились научно-производственные фирмы, занимающиеся производством и продажей больших массивов случайных чисел. Например, с 1996 г. в мире распространяется компакт-диск "The Marsaglia random number CDROM", который содержит 4,8 млрд. "истинно случайных" бит.
Подавляющее большинство современных криптографических систем используют либо поточные, либо блочные алгоритмы, базирующиеся на различных типах шифрах замены и перестановки. К сожалению, практически все алгоритмы, используемые в поточных криптосистемах, ориентированных на использование в военных и правительственных системах связи, а также, в некоторых случаях, для защиты информации коммерческого характера, что вполне естественно делает их секретными и недоступными для ознакомления. Единственными стандартными алгоритмами поточного симметричного шифрования являются американский стандарт DES (режимы CFB и OFB) и российский стандарт ГОСТ 28147-89 (режим гаммирования).
Основу функционирования поточных криптосистем составляют генераторы случайных или псевдослучайных последовательностей. Рассмотрим этот вопрос более подробно.
2 Генератор псевдослучайных чисел
Секретные ключи представляют собой основу криптографических преобразований, для которых согласно правилу Керкгоффса , стойкость криптосистемы определяется лишь секретностью ключа. Основной проблемой классической криптографии долгое время являлась трудность генерации секретного ключа. Физическое моделирование случайности с помощью таких физических явлений как, например, радиоактивное излучение или дробовой шум в электронной лампе является довольно сложным и дорогостоящим, а использование нажатия клавиш и движение мыши требует усилий пользователя и к тому же не дают полностью настоящих случайных процессов. Поэтому вместо физического моделирования используют методы математического моделирования случайности и генерации случайных последовательностей в виде программ для ЭВМ или специализированных устройств.
Эти программы и устройства хотя и называются генераторами случайных чисел, на самом деле генерируют детерминированные последовательности, которые только кажутся случайными по своим свойствам и поэтому называются псевдослучайными последовательностями. От них требуется, чтобы, даже зная закон формирования, но, не зная ключа в виде заданных начальных условий, никто не смог бы отличить генерируемую последовательность от случайной, как будто она получена путем бросания идеальных игровых костей.
Генератор псевдослучайных чисел (ГПСЧ, англ. Pseudorandom number generator, PRNG) - алгоритм, генерирующий последовательность чисел, элементы которой почти независимы друг от друга и подчиняются заданному распределению (обычно равномерному).
Можно сформировать три основных требования, которым должны удовлетворять криптографическистойкие генераторы псевдослучайных последовательностей или гаммы.
1. Период гаммы должен быть достаточно большим для шифрования сообщений различной длины.
2. Гамма должна быть трудно предсказуемой. Это значит, что если известны тип генератора и кусок гаммы, то невозможно предсказать следующий за этим куском бит гаммы или предшествующий этому куску бит гаммы.
3. Генерирование гаммы не должно быть связано с большими техническими и организационными трудностями.
Самая важная характеристика генератора псевдослучайных чисел - это информационная длина его периода, после которого числа будут либо просто повторяться, либо их можно будет предсказать. Эта длина практически определяет возможное число ключей криптосистемы. Чем эта длина больше, тем сложнее подобрать ключ.
Второе из указанных выше требований связано со следующей проблемой: на основании чего можно сделать заключение, что гамма конкретного генератора действительно является непредсказуемой? Пока в мире нет универсальных и практически проверяемых критериев для проверки этого свойства. Интуитивно случайность воспринимается как непредсказуемость. Чтобы гамма считалась случайной и непредсказуемой как минимум необходимо, чтобы ее период был очень большим, а различные комбинации бит определенной длины равномерно распределялись по всей ее длине. Это требование статистически можно толковать и как сложность закона генерации псевдослучайной последовательности чисел. Если по достаточно длинному отрезку этой последовательности нельзя ни статистически, ни аналитически определить этот закон генерации, то в принципе этим можно удовлетвориться.
И, наконец, третье требование должно гарантировать возможность практической реализации генераторов псевдослучайных последовательностей с учетом требуемого быстродействия и удобства практичного использования. Рассмотрим теперь некоторые практические методы получения псевдослучайных чисел.
3 Методы получение псевдослучайных чисел
Одним из первых таких методов был метод, предложенный в 1946 году Д. фон Нейманом. Этот метод базировался на том, что каждое последующее число в псевдослучайной последовательности формировалось возведением предыдущего числа в квадрат и отбрасыванием цифр с обоих концов. Однако этот метод оказался ненадежным, и от него быстро отказались. Другим методом является так называемый конгруэнтный способ.
3.1 Линейный конгруэнтный метод
Линейный конгруэнтный метод - один из алгоритмов генерации псевдослучайных чисел. Применяется в простых случаях и не обладает криптографической стойкостью. Входит в стандартные библиотеки различных компиляторов.
Этот алгоритм заключается в итеративном применении следующей формулы:
где a>0, c>0, m>0 - некоторые целочисленные константы. Получаемая последовательность зависит от выбора стартового числа X 0 и при разных его значениях получаются различные последовательности случайных чисел. В то же время, многие свойства последовательности X j определяются выбором коэффициентов в формуле и не зависят от выбора стартового числа. Ясно, что последовательность чисел, генерируемая таким алгоритмом, периодична с периодом, не превышающим m . При этом длина периода равна m тогда и только тогда, когда:
· НОД (c, m) = 1 (то есть c и m взаимно просты);
· a - 1 кратно p для всех простых p - делителей m;
· a - 1 кратно 4, если m кратно 4.
Статистические свойства получаемой последовательности случайных чисел полностью определяются выбором констант a и c при заданной разрядности e . Для этих констант выписаны условия, гарантирующие удовлетворительное качество получаемых случайных чисел.
В таблице ниже приведены наиболее часто используемые параметры линейных конгруэнтных генераторов, в частности, в стандартных библиотеках различных компиляторов (функция rand()).
3.2 Метод Фибоначчи
Интересный класс генераторов псевдослучайных последовательностей основан на использовании последовательностей Фибоначчи. Классический пример такой последовательности {0,1,1,2,3,5,8,13,21,34 …} - за исключением первых двух ее членов, каждый последующий член равен сумме двух предыдущих.
Особенности распределения случайных чисел, генерируемых линейным конгруэнтным алгоритмом, делают невозможным их использование в статистических алгоритмах, требующих высокого разрешения.
В связи с этим линейный конгруэнтный алгоритм постепенно потерял свою популярность, и его место заняло семейство фибоначчиевых алгоритмов, которые могут быть рекомендованы для использования в алгоритмах, критичных к качеству случайных чисел. В англоязычной литературе фибоначчиевы датчики такого типа называют обычно «Subtract-with-borrow Generators» (SWBG).
Наибольшую популярность фибоначчиевы датчики получили в связи с тем, что скорость выполнения арифметических операций с вещественными числами сравнялась со скоростью целочисленной арифметики, а фибоначчиевы датчики естественно реализуются в вещественной арифметике.
Один из широко распространённых фибоначчиевых датчиков основан на следующей итеративной формуле:
где X k - вещественные числа из диапазона Vi ] 2 Vi+1 = EDEK1,K2 [ EDEK1,K2 [ DTi] Ri]
Схема включает использование 112-битного ключа и трех EDE-шифрований. На вход даются два псевдослучайных значения: значение даты и времени и начальное значение текущей итерации, на выходе получаются начальное значение для следующей итерации и очередное псевдослучайное значение. Даже если псевдослучайное число Ri будет скомпрометировано, вычислить Vi+1 из Ri не является возможным за разумное время, и, следовательно, следующее псевдослучайное значение Ri+1, так как для получения Vi+1 дополнительно выполняются три операции EDE.
Аппаратные ГПСЧ
Кроме устаревших, хорошо известных LFSR-генераторов, широко применявшихся в качестве аппаратных ГПСЧ в XX веке, к сожалению, очень мало известно о современных аппаратных ГПСЧ (поточных шифрах), так как большинство из них разработано для военных целей и держатся в секрете. Почти все существующие коммерческие аппаратные ГПСЧ запатентованы или держатся в секрете . Аппаратные ГПСЧ ограничены строгими требованиями к расходуемой памяти (чаще всего использование памяти запрещено), быстродействию (1-2 такта) и площади (несколько сотен FPGA - или ASIC -ячеек). Из-за таких строгих требований к аппаратным ГПСЧ очень трудно создать криптостойкий генератор, поэтому до сих пор все известные аппаратные ГПСЧ были взломаны. Примерами таких генераторов являются Toyocrypt и LILI-128, которые оба являются LFSR-генераторами, и оба были взломаны с помощью алгебраических атак.
Из-за недостатка хороших аппаратных ГПСЧ производители вынуждены применять имеющиеся под рукой гораздо более медленные, но широко известные блочные шифры (DES , AES) и хеш-функции (SHA-1) в поточных режимах.
алгоритм генерации псевдослучайных чисел, называемый алгоритмом BBS (от фамилий авторов - L. Blum, M. Blum, M. Shub) или генератором с квадратичным остатком . Для целей криптографии этот метод предложен в 1986 году.Он заключается в следующем. Вначале выбираются два больших простых 1 Целое положительное число большее единицы называется простым , если оно не делится ни на какое другое число, кроме самого себя и единицы. Подробнее о простых числах см. в "Основные положения теории чисел, используемые в криптографии с открытым ключом" . числа p и q . Числа p и q должны быть оба сравнимы с 3 по модулю 4, то есть при делении p и q на 4 должен получаться одинаковый остаток 3. Далее вычисляется число M = p* q , называемое целым числом Блюма. Затем выбирается другое случайное целое число х , взаимно простое (то есть не имеющее общих делителей, кроме единицы) с М . Вычисляем х0= х 2 mod M . х 0 называется стартовым числом генератора.
На каждом n-м шаге работы генератора вычисляется х n+1 = х n 2 mod M . Результатом n-го шага является один (обычно младший) бит числа х n+1 . Иногда в качестве результата принимают бит чётности, то есть количество единиц в двоичном представлении элемента. Если количество единиц в записи числа четное – бит четности принимается равным 0 , нечетное – бит четности принимается равным 1 .
Например , пусть p = 11, q = 19 (убеждаемся, что 11 mod 4 = 3, 19 mod 4 = 3 ). Тогда M = p* q = 11*19=209 . Выберем х , взаимно простое с М : пусть х = 3 . Вычислим стартовое число генератора х 0 :
х 0 = х 2 mod M = 3 2 mod 209 = 9 mod 209 = 9.
Вычислим первые десять чисел х i по алгоритму BBS . В качестве случайных бит будем брать младший бит в двоичной записи числа х i :
| х 1 =9 2 mod 209= 81 mod 209= 81 | младший бит: | 1 |
| х 2 =81 2 mod 209= 6561 mod 209= 82 | младший бит: | 0 |
| х 3 =82 2 mod 209= 6724 mod 209= 36 | младший бит: | 0 |
| х 4 =36 2 mod 209= 1296 mod 209= 42 | младший бит: | 0 |
| х 5 =42 2 mod 209= 1764 mod 209= 92 | младший бит: | 0 |
| х 6 =92 2 mod 209= 8464 mod 209= 104 | младший бит: | 0 |
| х 7 =104 2 mod 209= 10816 mod 209= 157 | младший бит: | 1 |
| х 8 =157 2 mod 209= 24649 mod 209= 196 | младший бит: | 0 |
| х 9 =196 2 mod 209= 38416 mod 209= 169 | младший бит: | 1 |
| х 10 =169 2 mod 209= 28561 mod 209= 137 | младший бит: | 1 |
Самым интересным для практических целей свойством этого метода является то, что для получения n-го числа последовательности не нужно вычислять все предыдущие n чисел х i . Оказывается х n можно сразу получить по формуле
Например, вычислим х 10 сразу из х 0 :
В результате действительно получили такое же значение , как и при последовательном вычислении, – 137 . Вычисления кажутся достаточно сложными, однако на самом деле их легко оформить в виде небольшой процедуры или программы и использовать при необходимости.
Возможность "прямого" получения хn позволяет использовать алгоритм BBS при потоковой шифрации, например, для файлов с произвольным доступом или фрагментов файлов с записями базы данных .
Безопасность алгоритма BBS основана на сложности разложения большого числа М на множители. Утверждается, что если М достаточно велико, его можно даже не держать в секрете; до тех пор, пока М не разложено на множители, никто не сможет предсказать выход генератора ПСЧ. Это связано с тем, что задача разложения чисел вида n = pq (р и q - простые числа) на множители является вычислительно очень трудной, если мы знаем только n , а р и q - большие числа, состоящие из нескольких десятков или сотен бит (это так называемая задача факторизации ).
Кроме того, можно доказать, что злоумышленник , зная некоторую последовательность, сгенерированную генератором BBS , не сможет определить ни предыдущие до нее биты, ни следующие. Генератор BBS непредсказуем в левом направлении и в правом направлении . Это свойство очень полезно для целей криптографии и оно также связано с особенностями разложения числа М на множители.
Самым существенным недостатком алгоритма является то, что он недостаточно быстр, что не позволяет использовать его во многих областях, например, при вычислениях в реальном времени, а также, к сожалению, и при потоковом шифровании .
Зато этот алгоритм выдает действительно хорошую последовательность псевдослучайных чисел с большим периодом (при соответствующем выборе исходных параметров), что позволяет использовать его для криптографических целей при генерации ключей для шифрования.
Ключевые термины
Stream cipher – поточный шифр .
Алгоритм BBS – один из методов генерации псевдослучайных чисел. Название алгоритма происходит от фамилий авторов - L. Blum, M. Blum, M. Shub. Алгоритм может использоваться в криптографии. Для вычислений очередного числа x n+1 по алгоритму BBS используется формула х n+1 = х n 2 mod M , где M = pq является произведением двух больших простых p и q .
Генератор псевдослучайных чисел (ГПСЧ) – некоторый алгоритм или устройство, которые создают последовательность битов, внешне похожую на случайную.
Линейный конгруэнтный генератор псевдослучайных чисел – один из простейших ГПСЧ, который для вычисления очередного числа k i использует формулу k i =(a*k i-1 +b)mod c , где а, b, с - некоторые константы , a k i-1 - предыдущее псевдослучайное число .
Метод Фибоначчи с запаздываниями – один из методов генерации псевдослучайных чисел. Может использоваться в криптографии.
Поточный шифр – шифр , который выполняет шифрование входного сообщения по одному биту (или байту) за операцию. Поточный алгоритм шифрования устраняет необходимость разбивать сообщение на целое число блоков. Поточные шифры используются для шифрования данных в реальном времени.
Краткие итоги
Поточный шифр – это шифр , который выполняет шифрование входного сообщения по одному биту (или байту) за операцию. Поточный алгоритм шифрования устраняет необходимость разбивать сообщение на целое число блоков. Таким образом, если передается поток символов, каждый символ может шифроваться и передаваться сразу. Поточные шифры используются для шифрования данных в режиме реального времени.
Детерминированные ГПСЧ
ГПСЧ (PRNG) это генераторы псевдо-случайных чисел. Этот же термин часто используется для описания ГПСБ (PRBG) - генераторов псевдо-случайных бит, а так же различных поточных шифров. ГПСЧ как и поточные шифры состоят из внутреннего состояния (размером от 16 бит до нескольких мегабайт), функции инициализации внутреннего состояния ключом или семенами, функции обновления внутреннего состояния и функции вывода. ГПСЧ подразделяются на простые арифметические, сломанные криптографические и криптостойкие. Их общее предназначение - генерация последовательностей чисел, которые невозможно отличить от случайных.
Никакой детерминированный алгоритм не может генерировать полностью случайные числа, а только лишь аппроксимировать некоторые свойства случайных чисел. Как сказал , «всякий, кто питает слабость к арифметическим методам получения случайных чисел, грешен вне всяких сомнений» .
Любой ГПСЧ с ограниченными ресурсами рано или поздно зацикливается. Длина циклов ГПСЧ зависит от самого генератора и в среднем составляет около 2 (n/2) где n это размер внутреннего состояния в битах, хотя линейные-конгруэнтные генераторы и РЛСО (LFSR) генераторы обладают максимальными циклами порядка 2 n . Если ГПСЧ может сходиться к слишком коротким циклам, такой ГПСЧ становится предсказуемым и является непригодным.
Большинство простых арифметических генераторов хотя и обладают большой скоростью, но страдают от многих серьёзных недостатков:
- Слишком короткий период/периоды
- Последовательные значения не являются независимыми
- Некоторые биты «менее случайны», чем другие
- Неравномерное одномерное распределение
- Обратимость
В частности, алгоритм RANDU, десятилетиями использовавшийся на компьютерах , оказался очень плохим. В результате многие исследования менее надёжны, чем могли бы быть.
ГПСЧ с источником энтропии или ГСЧ
Наравне с существующей необходимостью генерировать легко воспроизводимые последовательности случайных чисел, также существует необходимость генерировать совершенно непредсказуемые или попросту абсолютно случайные числа. Такие генераторы называются «генераторами случайных чисел» («random number generator» ) или сокращённо ГСЧ (RNG). Так как такие генераторы чаще всего применяются для генерации уникальных симметричных и асимметричных ключей для шифрования, они чаще всего строятся из комбинации криптостойкого ГПСЧ и внешнего источника . Таким образом, под ГСЧ теперь принято подразумевать именно криптостойкие ГПСЧ с внешним источником энтропии.
Почти все крупные производители микрочипов поставляют аппаратные ГСЧ с различными источниками энтропии, используя различные методы для их очистки от неизбежных предсказуемостей. Однако на данный момент скорость сбора случайных чисел всеми существующими микрочипами (несколько тысяч бит в секунду) не соответствует быстродействию современных процессоров.
В персональных компьютерах авторы программных ГСЧ используют гораздо более быстрые источники энтропии, такие как шум звуковой карты или значения (processor clock counter) которые легко считываются, например, при помощи инструкции в процессорах Intel. До появления в процессорах возможности считывать значение самого чувствительного к малейшим изменениям окружающей среды счётчика тактов процессора, сбор энтропии являлся наиболее уязвимым местом ГСЧ. Эта проблема до сих пор полностью не разрешена во многих устройствах (например smart-карты), которые таким образом остаются уязвимыми. Многие ГСЧ до сих пор используют традиционные (устаревшие) методы сбора энтропии такие как действия пользователя (движения мыши и т. п.), как например в и Yarrow , или взаимодействие между нитями (threads), как например в Java secure random.
Вот несколько примеров ГСЧ с их источниками энтропии и генераторами:
- /dev/random в / - источник энтропии: , однако собирается только во время аппаратных прерываний; ГПСЧ: LFSR, с хэшированием выхода через ; достоинства: есть во всех Unix-ах, надёжный источник энтропии; недостатки: очень долго «нагревается», может надолго «застревать», либо работает как ГПСЧ (/dev/urandom );
- Yarrow от - источник энтропии: традиционные (устаревшие) методы; ГПСЧ: AES-256 и маленького внутреннего состояния; достоинства: гибкий криптостойкий дизайн; недостатки - долго «нагревается», очень маленькое внутреннее состояние, слишком сильно зависит от криптостойкости выбранных алгоритмов, медленный, применим исключительно для генерации ключей;
- генератор от Леонида Юрьева (Leo Yuriev) - источник энтропии: шум звуковой карты; ГПСЧ: пока не известен; достоинства: скорее всего хороший и быстрый источник энтропии; недостатки - нет независимого, заведомо криптостойкого ГПСЧ, доступен исключительно в виде DLL под Windows;
- Microsoft CryptoAPI - источник энтропии: текущее время, размер hard drive, размер свободной памяти, id процесса и NETBIOS имя компьютера; ГПСЧ: хэш внутреннего состояния размером в 128 бит (хэш присутствует только в 128-битовых версиях Windows); достоинства - встроен в Windows, не «застревает»; недостатки - маленькое внутреннее состояние, легко предсказуем;
- Java SecureRandom - источник энтропии: взаимодействие между нитями (threads); ГПСЧ: хэш внутреннего состояния (1024 бит); достоинства - в Java другого выбора пока нет, большое внутреннее состояние; недостатки: медленный сбор энтропии, хотя в Java другого выбора пока всё равно нет;
- Chaos от Ruptor - источник энтропии: , собирается непрерывно; ГПСЧ: хэширование 4096-битового внутреннего состояния на основе нелинейного варианта Marsaglia генератора; достоинства: пока самый быстрый из всех, большое внутреннее состояние, не «застревает».
Аппаратные ГПСЧ
Кроме устаревших хорошо известных LFSR генераторов широко применявшихся в качестве аппаратных ГПСЧ в прошлом веке к сожалению очень мало известно о современных аппаратных ГПСЧ (поточных шифрах), так как большинство из них разработано для военных целей и держатся в секрете. Почти все существующие коммерческие аппаратные ГПСЧ запатентованы и так же держатся в секрете. Аппаратные ГПСЧ ограничены строгими требованиями к расходуемой памяти (чаще всего использование памяти запрещено), быстродействию (1-2 такта) и площади (несколько сотен FPGA или ASIC ячеек). Из-за таких строгих требований к аппаратным ГПСЧ очень трудно создать криптостойкий генератор, по этому до сих пор все известные аппаратные ГПСЧ были сломаны. Примерами таких генераторов являются Toyocrypt и LILI-128, которые оба являются LFSR генераторами и оба были сломаны с помощью алгебраических атак.
Из-за недостатка хороших аппаратных ГПСЧ производители вынуждены применять имеющиеся под рукой гораздо более медленные, но широко известные блочные шифры как и AES и хэш функции такие как
