Teorik olarak sağlam psödondom jeneratörleri pratikte kullanılıyor mu?

Bildiğim kadarıyla, uygulamada psödondom sayı üretme uygulamalarının çoğu doğrusal kaydırma geri besleme kayıtları (LSFR'ler) veya bu "Mersenne Twister" algoritmaları gibi yöntemleri kullanır. Çok sayıda (sezgisel) istatistiksel testten geçerken, etkin bir şekilde hesaplanabilir tüm istatistiksel testlere yalancı baktıklarına dair teorik bir garanti yoktur. Yine de bu yöntemler, kriptografik protokollerden bilimsel hesaplamadan bankacılığa (muhtemelen) kadar her türlü uygulamada gelişigüzel kullanılmaktadır. Bu uygulamaların amaçlandığı gibi çalışıp çalışmadığı konusunda çok az veya hiç garanti vermememiz biraz endişe vericidir (çünkü her türlü analiz muhtemelen gerçek rastgele girdi olarak kabul ederdi).

Öte yandan, karmaşıklık teorisi ve kriptografi çok zengin bir takma ad teorisi sağlar ve hatta aday tek yönlü işlevleri kullanarak ortaya çıkabileceğiniz HERHANGİ etkili bir istatistiksel testi kandıracak psödondom jeneratörleri aday yapıları vardır.

Sorum şu: bu teori uygulamaya geçti mi? Kriptografi veya bilimsel bilgi işlem gibi rasgeleliğin önemli kullanımları için teorik olarak sağlam PRG'lerin kullanılmasını umuyorum.

Bir yana, LSFR'leri rastgelelik kaynağı olarak kullanırken hızlı sıralama gibi popüler algoritmaların ne kadar iyi çalıştığına dair sınırlı bir analiz bulabilirim ve görünüşe göre iyi çalışıyorlar. Bkz. Karloff ve Raghavan'ın "Rastgele algoritmalar ve yalancı sayılar" .

— Henry Yuen
kaynak

Evrensel bir PRG bile var - güvenli PRG'ler varsa güvenlidir.

$\:$

Kriptografik PRG'leri mi kastediyorsunuz? Eğer öyleyse, (kriptografik) PRG'lerin OWF'lere eşdeğer olduğunu bilmiyor muyuz?

— Henry Yuen

Evet. Bölünmüş Yaklaşık içine -bit tohum yaklaşık blokları

$\;\;$

k

$k$

\sqrt{k}

$\sqrt{k}$

Her biri

bit, koş

\sqrt{k}

$\sqrt{k}$

$\hspace{.2 in}$ ilk [blok sayısı]

adıma kadar ilgili bloklara tornalama makineleri ,

k^{2}

$k^2$

$\hspace{.15 in}$ çıkışları

k + 1

$\:k+1\:$ ve bu TM çıkışlarının xor çıkışını verir.

$\;\;$ (Tıpkı Levin'in evrensel araştırması gibi, bu pratikte kullanılamaz.)

$\;\;\;\;$

belki de uygulama için daha alakalı olan, karma için gereken rasgelelikle ilgili sonuçlardır: klasik sınırlı bağımsızlık ailelerinden Mitzenmacher-Vadhan (çift bağımsızlık + girişteki bazı entropi, lineer problama ve çiçeklenme filtreleri için yeterli takma ad verir) veya Patrascu'ya kadar -Kablolama karma üzerinde sonuçları kesin.

— Sasho Nikolov

"Yine de bu yöntemler, kriptografik protokollerden çeşitli uygulamalarda gelişigüzel bir şekilde kullanılıyor ...". Umarım değildir. Mersenne Twisters, kriptografi için kullanılmamalıdır, çünkü kriptografik olarak güçlü olmayabilirler , ancak varyantlar olabilir.

— Mike Samuel

Yanıtlar:

"Teorik olarak sağlam" sözde jeneratör üreticileri kavramı gerçekten iyi tanımlanmamıştır. Sonuçta, hiçbir sahte jeneratörün güvenlik kanıtı yoktur. Büyük tam sayıları çarpanlarına ayırmanın sertliğine dayanan bir sözde jeneratörün "AES'i bir sözde jeneratör olarak kullanmaktan" daha güvenli "olduğunu söyleyemeyeceğimizi bilmiyorum. (Aslında, AES'yi kırmak için kuantum faktoring algoritmalarını bildiğimiz ancak kuantum algoritmalarını bilmediğimizden daha az güvenli olduğu duygusu vardır.)

Matematiksel kanıtlara sahip olduğumuz şey, blok şifreleme veya karma işlevlerini belirli şekillerde oluşturursanız, sözde jeneratörler veya sözde işlev elde edebileceğinizi söyleyen çeşitli kompozisyon sonuçlarıdır. Bu tür bazı sonuçlar pratikte yaygın olarak kullanılmaktadır, örneğin HMAC . Ancak, bir PRG elde eden ve sadece temel bileşenin tek yönlü düz bir işlev olduğunu varsayarak başlayan sonuçların uygulamalar için kullanmak için yeterince verimli olmadığı doğrudur (ve bu en azından kısmen doğaldır)). Bu nedenle, tipik olarak bir PRG / akış şifresi / blok şifreleme / karma işlevini temel bir ilkel olarak kabul etmeli ve ondan başka şeyler oluşturmaya başlamalıyız. Sorun aslında asimptotik analiz ile ilgili değildir, çünkü esasen tüm kriptografik indirimler (belki de Levin'in evrensel PRG'si hariç) somut hale getirilebilir ve böylece somut varsayımlar altında somut garantiler verebilir.

Ancak tek yönlü işlevlere dayanmasalar da, AES gibi yapıların "teorik olarak sağlam" olduğu duygusu vardır, çünkü: (1) Güvenlikleri hakkında resmi varsayımlar vardır. (2) Bu varsayımları çürütmeye ve onlardan çıkarımlar yapmaya yönelik çalışmalar vardır.

Ve aslında, insanlar birçok uygulama için, yukarıdaki (1) ve (2) 'yi karşılamayan LSFR gibi PRG'leri kullanmanın akıllıca olmayacağının farkındalar.

— Boaz Barak
kaynak

Sanırım Jonathan Katz'in gazetelerinden birine web sayfasından bağlantı kurmak istedin. Btw, bunu diğer hesabınızla birleştirmemizi ister misiniz ?

— Kaveh

Teoriyi pratikle karıştırıyor gibisiniz. Teorik olarak sağlam bir sözde jeneratör, çeşitli nedenlerle pratik kullanım için kötü bir seçimdir:

Muhtemelen çok verimsiz.
Güvenlik kanıtı sadece asimptotiktir ve bu nedenle kullanılan belirli güvenlik parametresi için sözde jeneratörün kırılması kolay olabilir.
Tüm güvenlik kanıtları koşulludur, bu yüzden bir anlamda teorik güvenlik kavramını bile tatmin etmez.

Bunun aksine, gerçek psödorandom jeneratörleri hızlıdır ve kullanımlarına bağlı olarak farklı tatlarda gelirler. Kriptografik olmayan kullanım için, sade bir LFSR dışında hemen hemen her şey işi yapacak - kanıtlamak için değil, pratikte (gerçekte bir şeyler kullanan insanlar için daha önemlidir).

Kriptografik kullanım için, insanlar daha akıllı olmaya çalışırlar. Bu noktada eleştiriniz mantıklıdır: kullanılan belirli bir sözde jeneratörün "güvenli" olduğunu bilemeyiz ve aslında bazı eski olanlar kırılmıştır, örneğin WEP'te kullanılan RC4. Bununla birlikte, yukarıda belirtilen nedenlerden ötürü, teorik (şartlı olarak) ses psödondom jeneratörünün kullanılması maalesef gerçekçi bir çözüm değildir. Bunun yerine, kriptolojik topluluk "akran incelemesine" dayanır - sistemi "kırmaya" çalışan diğer araştırmacılar (bir şifrenin kırıldığı zamanki tanımları çok geniştir).

Son olarak, paranın yatırılabileceği ve güvenliğin yeterince önemli olduğu uygulamalarda - örneğin nükleer kodlar - insanlar fiziksel olarak üretilen gürültüyü (bir rastlantısallık çıkarıcıdan geçerek) kullanırlar, ancak bu bile teorik eleştirinin ötesinde değildir.

Araştırmacılar makalelere hibe önerileri veya tanıtımlar yazdıklarında, genellikle araştırmalarının uygulamayı ilgilendirdiğini ve bilgilendirdiğini iddia ederler. İster inanıyorlar, ister sadece dudak hizmeti mi bilmiyorum (ve araştırmacıya bağlı olabilir), ancak bariz nedenlerden dolayı bağlantının akademik çevrelerde büyük ölçüde abartılı olduğunu bilmelisiniz.

Matematiksel araştırmacılar olarak bizi sınırlayan şeylerden biri, resmi kanıtlara olan dogmatik bağlılığımızdır. Basit sözde jeneratörler tarafından beslenen rastgele algoritmaların analizinden bahsediyorsunuz. Bu tür bir analiz, gerçek dünyadaki sorunlara genişletilemez, çünkü bunlar çok karmaşıktır. Ve yine de, pratikte insanlar NP zor problemleri bile her zaman bilgili yöntemlerle çözüyorlar.

Gerçek dünya sorunları daha bilimsel ve deneysel bir bakışla daha iyi anlaşılır. Mühendislik açısından daha iyi çözülürler. Teorik araştırmalara ilham verirler ve zaman zaman bu konuda bilgilendirilirler. Dijsktra'nın dediği gibi, (teorik) bilgisayar bilimi gerçekte bilgisayarlarla ilgili değildir, artık değil.

— Yuval Filmus
kaynak

Cevabınız için teşekkürler, Yuval. Ancak, kriptografiden sözde jeneratör yapılarının pratik olarak verimsiz olduğuna tam olarak inanmıyorum. Görebildiğim kadarıyla kimse bu konuda bir çalışma yapmadı.

— Henry Yuen

Ben de standart sahte sahte üreticilerin "günlük amaçlar" için yeterli olduğuna dair kapsamlı ifadeye katılmıyorum. Son zamanlarda yapılan "Ron yanlıştı, Whit haklıydı" makalesinin gösterdiği gibi, arızalı sahte üretim, ihmal edilemez miktarda insan için utanç verici güvenlik açıklarına yol açtı. Bu özel analiz yeterince basitti; LSFR'ler yeterli olmadığı için kaç "gerçek dünya" uygulaması daha ince güvenlik açıklarına maruz kalabilir? Teorik olarak sağlam PRG'ler için gereken ilave hesaplama yükü bu kadar değilse, neden bunları kullanmıyorsunuz?

— Henry Yuen

@HenryYuen LSFR'ler, iyi ve modern sistemlerde kriptografik uygulamalar için kullanılmaz. (Tabii ki, orada nasıl yapılmaması gerektiği gibi giriş derslerinde öğretilen GSM gibi kötü tasarlanmış sistemler var.) “Ron yanlıştı, Whit haklı” kağıtta bulunan problemler kalite ile değildi PRNG'nin kendileri, ancak entropi toplama kalitesi ile.

— Gilles 'SO- kötü olmayı bırak'