熵源的安全混合

发布于 2024-09-13 19:41:39 字数 413 浏览 6 评论 0原文

假设我们正在生成非常大的数字（例如 128 或 256 位）作为分组密码的密钥。

让我们进一步假设我们戴着锡箔帽子（至少在外面时）。

由于如此偏执，我们希望确定可用的熵，但我们并不完全信任任何特定来源。也许政府正在操纵我们的硬币。也许这些骰子的重量非常微妙。如果输入到 /dev/random 的硬件中断有点太一致怎么办？（除了偏执之外，我们还很懒，不想手动生成所有内容......）

所以，让我们将它们全部混合起来。

执行此操作的安全方法是什么？据推测，仅仅连接每个源的几个字节并不完全安全——如果其中一个源有偏见，那么从理论上讲，它可能会导致诸如相关密钥攻击之类的事情。

对串联字节运行 SHA-256 是否足够？

（是的，很快我就会拿起一本《密码学工程》。:)）

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

沒落の蓅哖 2024-09-20 19:41:39

既然您提到了 /dev/random - 至少在 Linux 上，/dev/random 由一种算法提供，该算法可以完成您所描述的大部分操作。它需要几个不同信任的熵源，并使用多项式函数将它们混合到一个“熵池”中——对于进入的每个新的熵字节，它会被异或到池中，然后整个池与混合功能。当需要从池中获得一些随机性时，使用 SHA-1 对整个池进行哈希处理以获得输出，然后再次混合池（实际上，还会进行更多哈希、折叠和破坏，以确保逆转该过程与逆转 SHA-1 一样困难）。与此同时，还有大量的记账工作正在进行——每次将一些熵添加到池中时，都会将其价值的熵位数的估计值添加到帐户中，并且每次都会从池中提取一些字节。池中，该数字被减去，如果帐户低于零，随机设备将阻塞（等待更多的外部熵）。当然，如果您使用“urandom”设备，则不会发生阻塞，并且池只是不断进行散列和混合以产生更多字节，这会将其变成 PRNG 而不是 RNG。

不管怎样……它实际上非常有趣并且评论也很好——你可能想研究一下。 linux-2.6 树中的 drivers/char/random.c。