RDSEED 是真正的 RNG 嗎?
英特爾的 RDSEED 是真正的隨機數生成器嗎?
是的,RDSEED 是一個真正的隨機數生成器。
來自維基百科:
RDSEED 指令的熵源在自定時電路上非同步執行,並使用矽片內的熱雜訊以3 GHz 的速率輸出隨機比特流
$$ … $$.
然而,RDSEED 被用作(軟體實現的)任意寬度的 PRNG 的種子。
沒有人知道,所以我們不能說因為不可審計性和計算難以區分這兩個障礙。但它看起來一點也不好看。
由於該設備是完全無法驗證的,它可以做任何事情。我們所知道的是,不可能在數學上驗證真正的隨機性。無法區分的計算意味著輸出可以簡單地是任何體面的 $ \operatorname{E}_{k ; \oplus ; cpuid} (ctr) $ 像 CSPRNG。英特爾聲明它始終是 AES-CBC-MAC。
維基百科不是所有真理的神諭,在這種情況下必須被忽略。該設備的主要驗證是對INTEL 的 IVY BRIDGE 數字隨機數發生器的分析。隨後是一份學術報告《英特爾安全密鑰 RNG 的可證明安全性分析》。不幸的是,對於使用者來說,這兩個報告都是基於約 0.5 位/位的原始熵率。並成為一個黃金標準 TRNG,(熵輸出)<(熵輸入)。但它在那些報告中說: -
“我們無法訪問 Ivy Bridge 元件,因此英特爾為我們提供了來自預生產晶片的測試數據。這些晶片允許訪問原始 ES 輸出,而該功能在生產晶片中被禁用。”
整個分析是建立在沙子上的。許多因素造成懷疑的原因:-
- 生產供公眾使用的快速安全隨機數生成器不符合美國政府/國家安全域/安全社區的利益。崔波諾?
- 美國國家安全域對此有一定的認識,有許多公開的例子。
- 該晶片的所有公開分析均基於英特爾自己提供的未經驗證的數據樣本。~0.5 bits/bit 是真的嗎?
- RDSEED的初步分析是由英特爾支付的,這是一個巨大的利益衝突,無異於標記自己的功課。從該報告的首頁 - “該報告由 Cryptography Research, Inc. (CRI) 根據與英特爾公司的契約編寫”。
- 熵源在可疑的高 3GHz 下執行。學術實驗室 TRNG 直到最近才使用光學手段(下面的綠線)達到了這個速度。如果屬實,我預計在這個採樣率下會有很大的相關性。將 1% 的熵注入 CSPRNG 流不會產生 TRNG。
- 粉紅色標記的設備顯示過度炒作您的 TRNG 是多麼容易/常見。這些標記的設備已經超過了一個非常保守的工程極限(Shannon-Hartley),超過這個極限在數學上不可能再提取任何熵。其他一些人似乎可疑地處於極限。來自用於評估光子隨機數發生器的建議和插圖。
- 熵源是一個非典型電路,沒有在黑客社區中複製,唯一的詳細分析是英特爾自己的,未發表。(CE Dike,*“3 Gbps 二進制 RNG 熵源”,*英特爾公司(未發表),2011 年。)
- 典型的完全矽內 TRNG 是通過多個環形振盪器合成的。數百個逆變器很容易燒毀。在學術界和商業的各個層面都有許多例子。英特爾出於某種原因選擇不這樣做,而是更喜歡在完全數字化的晶片上進行模擬。
- 沒有可用於檢查的原始熵源,即使有,集成水平也意味著我們無法驗證源是否被實際使用。
- *nix 開發人員不信任它。
但最好的留到最後。即使是英特爾也無法說服它自己的代理這是一個好的 TRNG:-
在重負載下,它應該提供與 128 位 AES 等效的安全性,即使攻擊者可以看到它的一些輸出,並且在良好的重新種子之後,強制 ES 輸出非隨機的已知值。
-密碼學研究公司 (CRI)。
如果您接受有效的 TRNG 通過熵輸入/輸出比具有資訊理論安全性,那麼英特爾的則不是。 **鑑於所有反對的證據,如果不是,誰會受益,我不得不得出結論,它是一個 CSPRNG(充其量),而不是一個 TRNG。***nix 社區的大多數人都同意我的觀點。
