超级会员免费看
受损随机数生成器的最优恢复策略
在随机数生成器(RNG)的安全领域,如何让受损的 RNG 恢复并保证其安全性是一个重要的问题。本文将深入探讨相关的恢复策略,包括分布采样器、安全概念以及广义 Fortuna 构造等内容。
1. 分布采样器
分布采样器 D 是一个有状态的概率算法,它的任务是生成一系列输入 $I_1, I_2, \cdots$,这些输入总体上具有高熵,但可能会帮助攻击者 A 破坏 RNG 的安全性。给定当前状态 $\sigma$,D 会输出一个元组 $(\sigma’, I, \gamma, z)$,其中:
- $\sigma’$ 是 D 的新状态;
- $I \in {0, 1}^p$ 是刷新算法的下一个输入;
- $\gamma$ 是对 I 的新鲜熵估计;
- $z$ 是提供给攻击者 A 的关于 I 的泄漏信息。
我们用 $q_D$ 表示在安全游戏中 D 的执行次数上限。如果对于所有 $j \in {1, \cdots, q_D}$ 都满足 $H_{\infty}(I_j | I_1, \cdots, I_{j - 1}, I_{j + 1}, \cdots, I_{q_D}, z_1, \cdots, z_{q_D}, \gamma_0, \cdots, \gamma_{q_D}) \geq \gamma_j$,则称 D 是合法的。
分布采样器需要输出 I 的最小熵的下限 $\gamma$,这些熵估计仅在安全游戏中使用,不会提供给刷新和下一步程序。通过将熵估计与安全性分离,为 RNG 的安全性提供了有意义的定义,而无需 RNG 了解采样分布的熵。
订阅专栏 解锁全文
扫一扫
7
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
