이론적으로 건전한 의사 난수 발생기가 실제로 사용됩니까?

내가 아는 한, 실제로 의사 난수 생성의 대부분의 구현은 LSFR (linear shift feedback register) 또는 이러한 "Mersenne Twister"알고리즘과 같은 방법을 사용합니다. 그것들은 많은 (휴리스틱) 통계 테스트를 통과하지만, 이론적으로 모든 의사가 효율적으로 계산 가능한 통계 테스트에 대해 의사 난수처럼 보이게한다는 보장은 없습니다. 그러나 이러한 방법은 암호화 프로토콜에서 과학 컴퓨팅, 뱅킹 (아마도)에 이르기까지 모든 종류의 응용 프로그램에서 무차별 적으로 사용됩니다. 이러한 응용 프로그램이 의도 한대로 작동하는지 여부에 대해 거의 보증하지 않는 것이 다소 걱정입니다. (어떤 종류의 분석도 입력으로 진정한 임의성을 가정했을 수 있기 때문입니다).

반면에 복잡도 이론 및 암호화는 의사 난 수성에 대한 매우 풍부한 이론을 제공하며, 후보 편도 함수를 사용하여 얻을 수있는 효율적인 통계 테스트를 속이는 의사 난수 생성기 후보 구성도 있습니다.

제 질문은이 이론이 실제로 적용 되었습니까? 암호화 또는 과학 컴퓨팅과 같은 중요한 임의성 사용에는 이론적으로 건전한 PRG가 사용되기를 바랍니다.

따로, LSFR을 임의의 소스로 사용할 때 퀵 정렬과 같은 인기있는 알고리즘이 얼마나 잘 작동하는지에 대한 제한된 분석을 찾을 수 있었고 분명히 잘 작동합니다. Karloff와 Raghavan의 "랜덤 화 된 알고리즘 및 의사 난수"를 참조하십시오 .

— 헨리 위엔
소스

범용 PRG도 있습니다. 보안 PRG가 존재하면 안전합니다.

$\:$

암호화 PRG를 의미합니까? 그렇다면 (암호화) PRG가 OWF와 동등한 지 알 수 있습니까?

— Henry Yuen

예.

$\;\;$

비트 시드를 약

로 분할

k

$k$

대략

의

블록

\sqrt{k}

$\sqrt{k}$

각

비트, 실행

\sqrt{k}

$\sqrt{k}$

$\hspace{.2 in}$ 최대

단계 까지 해당 블록의 첫 번째 [블록 수] 튜링 기계 ,

k^{2}

$k^2$

$\hspace{.15 in}$ 출력을 채우다

k + 1

$\:k+1\:$ 비트 및 해당 TM 출력의 xor를 출력합니다.

$\;\;$ (레빈의 범용 검색과 마찬가지로 실제로는 사용할 수 없습니다.)

$\;\;\;\;$

연습에 더 관련이있는 것은 해시에 필요한 임의성 관련 결과 일 수 있습니다. 클래식 경계 독립 가족부터 Mitzenmacher-Vadhan (쌍별 독립 + 입력의 일부 엔트로피)과 같은 최신 결과에 이르기까지 선형 프로빙 및 블룸 필터에 대한 의사 난 수성을 제공합니다. -테이블 해싱에 대한 결과입니다.

— Sasho Nikolov

"그러나 이러한 방법은 암호화 프로토콜에 이르기까지 모든 종류의 응용 프로그램에서 무차별 적으로 사용됩니다 ..." 내가하지 희망. Mersenne Twister 는 변형 이있을 수 있지만 암호화 적으로 강력 하지 않기 때문에 암호화에 사용해서는 안됩니다 .

— Mike Samuel

답변:

"이론적으로 건전한"의사 난수 발생기의 개념은 실제로 잘 정의되어 있지 않습니다. 결국 의사 난수 발생기는 보안의 증거가 없습니다. 큰 정수를 인수 분해하는 경도를 기반으로 한 의사 난수 발생기가 의사 난수 발생기로 AES를 사용하는 것보다 "보다 안전"하다고 말할 수는 없습니다. (실제로 양자 계수 알고리즘을 알고 있지만 AES를 깨는 양자 알고리즘은 알지 못하므로 덜 안전하다는 의미가 있습니다.)

우리가 수학적으로 증명하는 것은 다양한 구성 결과입니다. 블록 암호 또는 해시 함수를 특정 방식으로 작성하면 의사 난수 생성기 또는 의사 난수 함수를 얻을 수 있습니다. 이러한 결과 중 일부는 실제로 널리 사용됩니다 (예 : HMAC) . 그러나 PRG를 달성하고 기본 구성 요소가 일반 단방향 기능이라고 가정하여 시작한 결과는 응용 프로그램에 사용하기에 충분하지 않다는 사실이 사실입니다 (그리고 이것은 적어도 부분적으로 고유합니다)). 따라서 일반적으로 PRG / 스트림 암호 / 블록 암호 / 해시 기능을 기본 프리미티브로 가정하고 그로부터 다른 것을 구축해야합니다. 본질적으로 모든 암호화 감소 (레빈의 범용 PRG 제외)가 구체적으로 이루어질 수 있으므로 구체적인 가정하에 구체적인 보장을 제공하기 때문에이 문제는 실제로 점근 분석에 관한 것이 아닙니다.

그러나 단방향 기능을 기반으로하지 않더라도 AES와 같은 구성은 "이론적으로 건전한"의미가 있습니다. (1) 보안에 대한 공식적인 추측이 있습니다. (2) 이러한 추측을 반박하려는 노력이 있으며 그에 따른 영향도 도출된다.

실제로 사람들은 많은 응용 분야에서 위의 (1) 및 (2)를 만족하지 않는 LSFR과 같은 PRG를 사용하는 것이 현명하지 않다는 것을 알고 있습니다.

— 보아즈 바락
소스

조나단 카츠 (Jonathan Katz)의 논문 중 하나를 그의 웹 페이지에 링크하려고했다고 생각합니다. Btw, 다른 계정 과 병합 하시겠습니까?

— Kaveh

이론과 실제를 혼동하는 것 같습니다. 이론적으로 건전한 의사 난수 발생기는 몇 가지 이유로 실용적으로 적합하지 않습니다.

아마 매우 비효율적 일 것입니다.
보안 증명은 점근 적이므로 사용 된 특정 보안 매개 변수의 경우 의사 난수 생성기가 깨지기 쉽습니다.
모든 보안 증명은 조건부이므로 어떤 의미에서는 이론적 보안 개념을 만족 시키지도 않습니다.

이와 대조적으로 실제 의사 난수 발생기는 빠르며 용도에 따라 다른 풍미가 있습니다. 비 암호화 사용의 경우 평범한 LFSR 이외의 거의 모든 것이 작업을 수행 할 것입니다. 실제로는 아니지만 실제로 (실제로 물건을 사용하는 사람들에게 더 중요합니다).

암호화 사용을 위해 사람들은 더 영리하려고 노력합니다. 이 시점에서 당신의 비판은 이치에 맞습니다 : 우리는 사용 된 특정 의사 난수 발생기가 "안전"하다는 것을 알 수 없으며 실제로 WEP에서 사용 된 RC4와 같은 일부 오래된 것들도 깨졌습니다. 그러나 위에서 언급 한 이유로 이론적으로 (조건부) 사운드 의사 난수 발생기를 사용하는 것은 현실적인 해결책이 아닙니다. 대신 암호 공동체는 "피어 리뷰"에 의존합니다. 다른 연구원들은 시스템을 "파괴"하려고합니다 (암호화시기에 대한 정의는 매우 광범위합니다).

마지막으로, 돈을 투자 할 수 있고 핵 코드와 같은 보안이 충분히 중요한 응용 분야에서는 사람들이 물리적으로 생성 된 노이즈 (임의 추출기를 통해 전달됨)를 사용하지만 이론적 인 비판을 넘어서는 것은 아닙니다.

연구자들이 보조금 제안이나 논문에 대한 소개를 쓸 때, 종종 자신의 연구가 실습과 관련이 있고 정보를 제공한다고 주장합니다. 그들이 그것을 믿거 나 그것이 단지 입술 서비스인지 여부는 알지 못하며 (연구원에 따라 다를 수 있음), 명백한 이유로 학계에서는 연결이 크게 과장되어 있음을 알아야합니다.

수학적 연구자로서 우리를 제한하는 한 가지는 공식적인 증거에 대한 우리의 독단적 애착입니다. 간단한 의사 난수 생성기가 제공하는 무작위 알고리즘 분석에 대해 언급합니다. 이러한 종류의 분석은 너무 복잡하기 때문에 실제 문제로 확장 될 수 없습니다. 그러나 실제로 사람들은 정보에 입각 한 방법으로 항상 NP-hard 문제를 해결합니다.

보다 과학적이고 실험적인 눈으로 실제 문제를 더 잘 이해할 수 있습니다. 엔지니어링 관점에서 더 잘 해결됩니다. 그들은 이론적 연구에 영감을 주며 때로는 그것에 의해 정보를받습니다. Dijsktra가 말했듯이 (이론적) 컴퓨터 과학은 실제로 컴퓨터에 관한 것이 아니며 더 이상은 아닙니다.

— 유발 필름 러스
소스

대답 해 주셔서 감사합니다, Yuval. 그러나 암호화를 사용한 의사 난수 생성기 구성이 비효율적이라고 믿지 않습니다. 내가 볼 수있는 한, 아무도 이것에 대한 연구를하지 않았다.

— Henry Yuen

또한 표준 의사 난수 발생기가 "매일의 목적"으로 충분하다는 담요 선언에 동의하지 않습니다. 최근 "논은 틀렸고, Whit는 옳았다"논문에서 알 수 있듯이, 의사 난수 생성 결함은 무시할 수없는 사람들에게 취약성을 야기했다. 그 특별한 분석은 충분히 간단했습니다. LSFR이 충분하지 않기 때문에 얼마나 많은 "실제"응용 프로그램이 더 미묘한 취약점을 겪을 수 있습니까? 이론적으로 건전한 PRG에 필요한 추가 계산 오버 헤드가 그리 많지 않다면 왜 사용하지 않습니까?

— Henry Yuen

@HenryYuen LSFR은 적절한 최신 시스템의 암호화 응용 프로그램에는 사용되지 않습니다. (물론, 도입 과정에서하지 말아야 할 방법으로 가르치는 GSM과 같이 잘못 설계된 시스템이 있습니다.) "Ron was wrong, Whit is right"논문에서 발견 된 문제는 품질이 좋지 않았습니다. 엔트로피 수집의 품질과 PRNG 자체의.

— Gilles 'SO- 악마 그만해'