มีการใช้เครื่องกำเนิดไฟฟ้าเทียมหลอกในทางทฤษฎีหรือไม่


17

เท่าที่ฉันทราบการใช้งานส่วนใหญ่ของการสร้างตัวเลขหลอกเทียมในวิธีการใช้งานในทางปฏิบัติเช่นการลงทะเบียนข้อเสนอแนะการเปลี่ยนแปลงเชิงเส้น (LSFRs) หรืออัลกอริทึม "Mersenne Twister" เหล่านี้ ในขณะที่พวกเขาผ่านการทดสอบทางสถิติจำนวนมาก (heuristic) ก็ไม่มีการรับประกันทางทฤษฎีว่าพวกเขามองการปลอมโดยใช้การทดสอบทางสถิติที่คำนวณได้อย่างมีประสิทธิภาพทั้งหมด กระนั้นวิธีการเหล่านี้ถูกใช้อย่างไม่เลือกปฏิบัติในแอปพลิเคชันทุกประเภทตั้งแต่โปรโตคอลการเข้ารหัสจนถึงการคำนวณทางวิทยาศาสตร์ไปจนถึงการธนาคาร (อาจ) ฉันคิดว่ามันค่อนข้างน่าเป็นห่วงที่เราไม่มีการรับประกันว่าแอปพลิเคชั่นเหล่านี้จะทำงานได้ตามที่ต้องการหรือไม่

ในทางกลับกันทฤษฎีความซับซ้อนและวิทยาการเข้ารหัสลับนั้นเป็นทฤษฎีที่อุดมไปด้วย pseudorandomness และเรายังมีโครงสร้างของผู้สร้างเครื่องกำเนิดไฟฟ้าเทียมเทียมที่จะหลอกการทดสอบทางสถิติที่มีประสิทธิภาพที่คุณสามารถทำได้ด้วยการใช้ฟังก์ชันทางเดียว

คำถามของฉันคือ: ทฤษฎีนี้ได้นำไปสู่การปฏิบัติหรือไม่? ฉันหวังว่าจะใช้การสุ่มตัวอย่างที่สำคัญเช่นการเข้ารหัสหรือการคำนวณทางวิทยาศาสตร์โดยใช้ PRG ที่ดีในทางทฤษฎี

นอกจากนี้ฉันสามารถค้นหาการวิเคราะห์ที่ จำกัด ว่าอัลกอริทึมที่ได้รับความนิยมเช่น Quicksort ทำงานอย่างไรเมื่อใช้ LSFR เป็นแหล่งของการสุ่มและเห็นได้ชัดว่ามันทำงานได้ดี ดู Karloff และ Raghavan ของ"อัลกอริทึมแบบสุ่มและตัวเลข pseudorandom"


3
แม้จะมี Universal PRG - ก็ปลอดภัยถ้ามี PRG ที่ปลอดภัยอยู่

คุณหมายถึง PRG เข้ารหัสลับหรือไม่? ถ้าเป็นเช่นนั้นเราไม่ทราบว่า PRGs (เข้ารหัส) เทียบเท่ากับ OWF หรือไม่
Henry Yuen

2
ใช่. แบ่งเมล็ด -bit ออกเป็นประมาณkบล็อกประมาณkบิตแต่ละตัววิ่งk[จำนวนบล็อกแรก] ทัวริงเครื่องจักรในบล็อกที่สอดคล้องกันมากถึงขั้นตอนk2 แผ่นเอาท์พุทไปที่ k+1 บิตและส่งออก xor ของผลลัพธ์ของ TM เหล่านั้น (เช่นเดียวกับการค้นหาทั่วไปของเลวินสิ่งนี้ไม่สามารถใช้ในทางปฏิบัติได้)

1
อาจเกี่ยวข้องกับการปฏิบัติมากขึ้นอาจเป็นผลลัพธ์ที่เกี่ยวข้องกับการสุ่มที่จำเป็นสำหรับการคร่ำครวญ: จากครอบครัวเอกราชที่มีขอบเขตแบบคลาสสิกไปจนถึงผลลัพธ์ล่าสุดเช่น Mitzenmacher-Vadhan (ความเป็นอิสระคู่ -Thorup ผลการ hashing ตาราง
Sasho Nikolov

1
"แต่วิธีการเหล่านี้ถูกใช้อย่างไม่เลือกปฏิบัติในแอปพลิเคชันทุกประเภทตั้งแต่โปรโตคอลการเข้ารหัส ... " ฉันหวังว่าไม่ เซนเน Twisters ไม่ควรนำมาใช้สำหรับการเข้ารหัสตั้งแต่พวกเขาจะไม่แข็งแกร่งเข้ารหัสแม้ว่าจะมีสายพันธุ์ที่อาจจะ
Mike Samuel

คำตอบ:


13

ความคิดเรื่อง "กำเนิดเสียง" นั้นไม่ได้นิยามไว้อย่างชัดเจน ท้ายที่สุดไม่มีเครื่องกำเนิดไฟฟ้าเทียมเทียมที่มีหลักฐานความปลอดภัย ฉันไม่รู้ว่าเราสามารถพูดได้ว่าเครื่องกำเนิดไฟฟ้าเทียมปลอมโดยอาศัยความแข็งของการแยกจำนวนเต็มจำนวนมากนั้นมีความปลอดภัยมากกว่าการพูดโดยใช้ AES เป็นเครื่องกำเนิดไฟฟ้าเทียมเทียม (อันที่จริงมีความรู้สึกว่ามันมีความปลอดภัยน้อยกว่าเนื่องจากเรารู้ว่าอัลกอริทึมการแยกตัวประกอบควอนตัม แต่ไม่ใช่อัลกอริทึมควอนตัมที่จะทำลาย AES)

สิ่งที่เราทำมีข้อพิสูจน์ทางคณิตศาสตร์สำหรับผลการจัดองค์ประกอบต่าง ๆ โดยบอกว่าถ้าคุณเขียนฟังก์ชัน block-ciphers หรือ hash ด้วยวิธีการบางอย่างคุณจะได้รับเครื่องกำเนิดไฟฟ้าเทียมเทียมหรือฟังก์ชันเทียมโดยอัตโนมัติ บางผลดังกล่าวถูกนำมาใช้กันอย่างแพร่หลายในการปฏิบัติเช่นHMAC แต่มันเป็นความจริงที่ว่าผลลัพธ์ที่บรรลุ PRG และเริ่มต้นด้วยเพียงแค่สมมติว่าองค์ประกอบพื้นฐานคือฟังก์ชั่นทางเดียวธรรมดาที่มีไม่เพียงพอกับการใช้งานที่มีประสิทธิภาพสำหรับการใช้งาน (และนี่คืออย่างน้อยส่วนหนึ่งโดยธรรมชาติ) ดังนั้นโดยทั่วไปเราจำเป็นต้องสมมติฟังก์ชัน PRG / stream cipher / block-cipher / hash เป็นพื้นฐานดั้งเดิมและเริ่มสร้างสิ่งอื่น ๆ จากมัน ปัญหานี้ไม่ได้เกี่ยวกับการวิเคราะห์เชิง asymptotic เนื่องจากการลดการเข้ารหัสทั้งหมด (ยกเว้นบางที PRG ของเลวินสากล) สามารถสร้างเป็นรูปธรรมและให้การรับประกันที่เป็นรูปธรรมภายใต้สมมติฐานที่เป็นรูปธรรม

แต่แม้ว่าพวกเขาจะไม่ได้ขึ้นอยู่กับฟังก์ชั่นทางเดียว แต่ก็มีความรู้สึกว่าสิ่งก่อสร้างเช่น AES นั้น "มีเหตุผลทางเสียง" เพราะ: (1) มีการคาดเดาอย่างเป็นทางการเกี่ยวกับความปลอดภัย (2) มีงานพยายามปฏิเสธการคาดเดาเหล่านี้และยังได้รับผลกระทบจากพวกเขา

และแน่นอนว่าผู้คนตระหนักดีว่าสำหรับแอปพลิเคชั่นมากมายมันจะไม่ฉลาดที่จะใช้ PRG เช่น LSFR ที่ไม่เป็นไปตาม (1) และ (2) ด้านบน


1
ฉันเดาว่าคุณต้องการลิงก์ไปยังเอกสารของ Jonathan Katz ที่อยู่ในหน้าเว็บของเขา Btw คุณต้องการให้เรารวมกับบัญชีอื่นของคุณหรือไม่
Kaveh

9

คุณดูเหมือนจะสับสนกับการฝึกฝนทางทฤษฎี กำเนิด pseudorandom เสียงในทางทฤษฎีเป็นแบบที่ไม่ดีสำหรับการใช้งานจริงด้วยเหตุผลหลายประการ:

  • มันอาจไม่มีประสิทธิภาพมาก
  • หลักฐานการรักษาความปลอดภัยเป็นเพียงเชิงแสดงอาการและดังนั้นสำหรับพารามิเตอร์ความปลอดภัยโดยเฉพาะที่ใช้เครื่องกำเนิดไฟฟ้าเทียมอาจจะแตกง่าย
  • หลักฐานการรักษาความปลอดภัยทั้งหมดมีเงื่อนไขดังนั้นในบางแง่มุมมันไม่ได้ตอบสนองแนวคิดเรื่องความปลอดภัยทางทฤษฎี

ในทางตรงกันข้ามกับสิ่งนี้เครื่องกำเนิดไฟฟ้าเทียมปลอมที่แท้จริงนั้นเร็วและมีรสชาติที่แตกต่างกันไปตามการใช้งานของพวกเขา สำหรับการใช้ที่ไม่ใช่การเข้ารหัสลับเกือบทุกอย่างอื่นนอกจาก LFSR ธรรมดาจะทำงาน - ไม่สามารถพิสูจน์ได้ แต่ในทางปฏิบัติ (ซึ่งมีความสำคัญมากกว่าสำหรับคนที่ใช้สิ่งของในความเป็นจริง)

สำหรับการใช้งานการเข้ารหัสผู้คนพยายามที่จะฉลาดกว่า เมื่อถึงจุดนี้การวิจารณ์ของคุณสมเหตุสมผล: เราไม่สามารถรู้ได้ว่าเครื่องกำเนิดไฟฟ้าเทียมโดยเฉพาะที่ใช้นั้น "ปลอดภัย" และแน่นอนว่าเครื่องเก่าบางเครื่องเสียเช่น RC4 ที่ใช้ใน WEP อย่างไรก็ตามด้วยเหตุผลที่กล่าวมาข้างต้นการใช้เครื่องกำเนิดเสียงเทียมแบบมีเงื่อนไข (ตามเงื่อนไข) นั้นน่าเสียดายที่ไม่ใช่วิธีแก้ปัญหาที่เหมือนจริง แต่ชุมชนเข้ารหัสนั้นอาศัย "peer review" - นักวิจัยคนอื่น ๆ ที่พยายามที่จะ "ทำลาย" ระบบ (คำจำกัดความของพวกเขาว่าเมื่อตัวเลขที่แตกสลายนั้นกว้างมาก)

ในที่สุดแอปพลิเคชันเมื่อเงินสามารถลงทุนได้และความปลอดภัยมีความสำคัญพอ - กล่าวว่ารหัสนิวเคลียร์ - คนใช้เสียงที่สร้างขึ้นทางร่างกาย (ผ่านเครื่องแยกแบบสุ่ม) แม้ว่าจะไม่ได้อยู่เหนือการวิจารณ์เชิงทฤษฎี


เมื่อนักวิจัยเขียนข้อเสนอการให้ทุนหรือการแนะนำเอกสารพวกเขามักอ้างว่างานวิจัยของพวกเขาเกี่ยวข้องและแจ้งการปฏิบัติ ไม่ว่าพวกเขาจะเชื่อในมันหรือเป็นเพียงแค่บริการริมฝีปากฉันไม่รู้ (และอาจขึ้นอยู่กับนักวิจัย) แต่คุณควรระวังว่าการเชื่อมต่อนั้นเกินจริงอย่างมากในแวดวงการศึกษาด้วยเหตุผลที่ชัดเจน

สิ่งหนึ่งที่ จำกัด เราในฐานะนักวิจัยทางคณิตศาสตร์คือการยึดติดกับดื้อรั้นของเราเพื่อพิสูจน์อย่างเป็นทางการ คุณพูดถึงการวิเคราะห์อัลกอริทึมแบบสุ่มที่ป้อนโดยเครื่องกำเนิดไฟฟ้าแบบหลอกง่าย การวิเคราะห์แบบนี้ไม่สามารถขยายไปสู่ปัญหาในโลกแห่งความเป็นจริงเนื่องจากมันซับซ้อนเกินไป และในทางปฏิบัติผู้คนก็สามารถแก้ปัญหา NP-hard ได้ตลอดเวลาด้วยวิธีการที่มีข้อมูล

ปัญหาในโลกแห่งความเป็นจริงนั้นเป็นที่เข้าใจกันดีกว่าด้วยการใช้สายตาและการทดลอง พวกมันถูกแก้ไขได้ดีกว่าจากมุมมองทางวิศวกรรม พวกเขาเป็นแรงบันดาลใจการวิจัยเชิงทฤษฎีและบางครั้งจะได้รับแจ้งจากมัน ดังที่ Dijsktra กล่าวว่าวิทยาศาสตร์คอมพิวเตอร์ (ในทางทฤษฎี) ไม่ได้เกี่ยวกับคอมพิวเตอร์จริงๆ


ขอบคุณสำหรับคำตอบของคุณ Yuval อย่างไรก็ตามฉันไม่เชื่ออย่างเต็มที่ว่าการสร้างตัวสร้าง pseudorandom จากการเข้ารหัสนั้นไม่มีประสิทธิภาพในทางปฏิบัติ เท่าที่ฉันเห็นไม่มีใครได้ทำการศึกษาเรื่องนี้
Henry Yuen

2
ฉันยังไม่เห็นด้วยกับคำสั่งผ้าห่มที่กำเนิดหลอกเทียมมาตรฐานเพียงพอสำหรับ "วัตถุประสงค์ในชีวิตประจำวัน" ในฐานะที่เป็น "รอนผิดผิดเล็กน้อย" กระดาษถูกต้องแสดงให้เห็นว่าการสร้างแบบจำลองปลอมที่มีข้อบกพร่องทำให้เกิดช่องโหว่ที่น่าอับอายสำหรับผู้คนจำนวนไม่น้อย การวิเคราะห์นั้นง่ายพอ มีแอปพลิเคชั่น "โลกแห่งความจริง" เท่าไหร่ที่อาจมีช่องโหว่เล็กน้อยเนื่องจาก LSFRs ไม่เพียงพอ หากค่าใช้จ่ายในการคำนวณที่เพิ่มเข้ามานั้นจำเป็นต้องใช้สำหรับ PRG ที่มีเหตุผลทางด้านเสียงไม่มากนักทำไมไม่ใช้มัน?
Henry Yuen

1
@HenryYuen LSFR ไม่ได้ใช้สำหรับการเข้ารหัสลับในระบบที่ทันสมัยและเหมาะสม (แน่นอนว่ามีระบบที่ออกแบบมาไม่ดีเช่น GSM ซึ่งสอนในหลักสูตรเบื้องต้นว่าจะทำอย่างไร) ปัญหาที่พบในกระดาษ“ Ron ผิดผิดเล็กน้อยถูกต้อง” ไม่มีคุณภาพ ของ PRNG ตัวเอง แต่ด้วยคุณภาพของการรวบรวมเอนโทรปี
Gilles 'หยุดความชั่วร้าย'
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.