Аппаратный генератор случайных чисел

В вычислительной технике используются аппаратный генератор случайных чисел ( HRNG ), генератор истинных случайных чисел ( TRNG ), недетерминированный генератор случайных битов ( NRBG ), ^[1] или физический генератор случайных чисел ^{[2] [3]} это устройство, генерирующее случайные числа из физического процесса, способного производить энтропию (другими словами, устройство всегда имеет доступ к физическому источнику энтропии) ^[1] ), в отличие от генератора псевдослучайных чисел (PRNG, также известного как «детерминированный генератор случайных битов», DRBG), который использует детерминированный алгоритм. ^[2] и нефизические недетерминированные генераторы случайных битов , которые не включают в себя аппаратное обеспечение, предназначенное для генерации энтропии. ^[1]

Многие природные явления генерируют низкоуровневые, статистически случайные « шумовые » сигналы, включая тепловой и дробовой шум, джиттер и метастабильность электронных схем, броуновское движение , атмосферный шум . ^[4] Исследователи также использовали фотоэлектрический эффект , включающий светоделитель , и другие квантовые явления, ^{[5] [6] [7] [8]} и даже ядерный распад (последний по практическим соображениям, как и атмосферный шум, нежизнеспособен). ^[4] Хотя «классические» (неквантовые) явления не являются по-настоящему случайными, непредсказуемая физическая система обычно приемлема в качестве источника случайности, поэтому определения «истинный» и «физический» используются как синонимы. ^[9]

Ожидается, что аппаратный генератор случайных чисел будет выдавать почти идеальные случайные числа (« полная энтропия »). ^[1] Физический процесс обычно не обладает этим свойством, и практический TRNG обычно включает в себя несколько блоков: ^[10]

• источник шума , который реализует физический процесс, производящий энтропию. Обычно этот процесс является аналоговым , поэтому дигитайзер ; для преобразования выходного сигнала аналогового источника в двоичное представление используется
• кондиционер ) , ( экстрактор случайности улучшающий качество случайных битов;
• тесты на здоровье . TRNG в основном используются в криптографических алгоритмах, которые полностью ломаются, если случайные числа имеют низкую энтропию, поэтому обычно включаются функции тестирования.

Аппаратные генераторы случайных чисел обычно производят только ограниченное количество случайных битов в секунду. Чтобы увеличить доступную скорость выходных данных, они часто используются для генерации « начального числа » для более быстрого ГПСЧ. DRBG также помогает с «анонимизацией» источника шума (обелением идентифицирующих характеристик источника шума) и извлечением энтропии . При правильном выборе алгоритма DRBG ( криптографически безопасный генератор псевдослучайных чисел , CSPRNG) такая комбинация может удовлетворить требования федеральных стандартов обработки информации и стандартов Common Criteria . ^[11]

Аппаратные генераторы случайных чисел можно использовать в любом приложении, которому требуется случайность. Однако во многих научных приложениях дополнительная стоимость и сложность TRNG (по сравнению с генераторами псевдослучайных чисел) не дают значимых преимуществ. TRNG имеют дополнительные недостатки для науки о данных и статистических приложений: невозможность повторного запуска серии чисел, если они не сохранены, зависимость от аналогового физического объекта может скрыть неисправность источника. Поэтому TRNG в основном используются в приложениях, где их непредсказуемость и невозможность повторного запуска последовательности чисел имеют решающее значение для успеха реализации: в криптографии и игровых автоматах. ^[12]

Аппаратные генераторы случайных чисел в основном используются в области шифрования данных , например, для создания случайных криптографических ключей и одноразовых номеров, необходимых для шифрования и подписи данных. Помимо случайности, криптографические приложения предъявляют как минимум два дополнительных требования: ^[13]

1. прямая секретность гарантирует, что знание прошлых выходных данных и внутреннего состояния устройства не позволит злоумышленнику предсказать будущие данные;
2. обратная секретность защищает «противоположное направление»: знание выходного и внутреннего состояния в будущем не должно разглашать предыдущие данные.

Типичный способ выполнения этих требований — использование TRNG для создания криптографически безопасного генератора псевдослучайных чисел . ^[14]

Физические устройства использовались для генерации случайных чисел на протяжении тысячелетий, в первую очередь для азартных игр . В частности, игральные кости известны уже более 5000 лет (их можно найти в современных Ираке и Иране). монета (таким образом производящая случайный бит) датируется, по крайней мере, временами Древнего Рима . ^[15]

Первое задокументированное использование физического генератора случайных чисел в научных целях было осуществлено Фрэнсисом Гальтоном (1890 г.). ^[16] Он разработал способ выборки распределения вероятностей , используя обычные игральные кости. Помимо верхней цифры, Гальтон также смотрел на ближайшую к нему грань игральной кости, создавая таким образом 6*4 = 24 исхода (около 4,6 бит случайности). ^[15]

Кендалл и Бабингтон-Смит (1938) ^[17] использовал быстро вращающийся 10-секторный диск, который освещался периодическими вспышками света. Отбор проб проводил человек, который написал номер под лучом света на блокноте. Устройство использовалось для создания таблицы случайных чисел из 100 000 цифр (в то время такие таблицы использовались для статистических экспериментов, таких как сегодня PRNG). ^[15]

29 апреля 1947 года корпорация RAND начала генерировать случайные цифры с помощью «электронного колеса рулетки», состоящего из источника импульсов случайной частоты с частотой около 100 000 импульсов в секунду, стробируемого один раз в секунду с импульсом постоянной частоты и подаваемого в пятибитный двоичный код. прилавок. Компания Douglas Aircraft построила оборудование, реализовав предложение Сесила Гастингса (RAND P-113). ^[18] для источника шума (скорее всего, известное поведение миниатюрной газовой тиратронной трубки 6Д4 при помещении ее в магнитное поле ^[19] ). Двадцать из 32 возможных значений счетчика были сопоставлены с 10 десятичными цифрами, а остальные 12 значений счетчика были отброшены. ^[20] Результаты длительного прогона машины RAND, отфильтрованные и протестированные, были преобразованы в таблицу, которая первоначально существовала только как колода перфокарт , но была позже опубликована в 1955 году в виде книги, 50 строк по 50 цифр на каждой странице. ^[15] ( Миллион случайных цифр со 100 000 нормальных отклонений ). Таблица RAND стала значительным прорывом в предоставлении случайных чисел, поскольку такая большая и тщательно подготовленная таблица никогда раньше не была доступна. Это был полезный источник для моделирования, моделирования и получения произвольных констант в криптографических алгоритмах, чтобы продемонстрировать, что константы не были выбраны злонамеренно (« ничего в моем рукаве »). ^[21]

С начала 1950-х годов исследования TRNG были очень активными: к 2017 году были опубликованы тысячи исследовательских работ и выдано около 2000 патентов. ^[15]

Со временем было предложено множество различных конструкций TRNG с большим разнообразием источников шума и методов оцифровки («сбора данных»). Однако практические соображения (размер, мощность, стоимость, производительность, надежность) диктуют следующие желательные характеристики: ^[22]

• использование общедоступного недорогого кремниевого процесса;
• эксклюзивное использование технологий цифрового дизайна. Это упрощает интеграцию системы на кристалле и позволяет использовать FPGA ;
• компактная конструкция с низким энергопотреблением. Это препятствует использованию аналоговых компонентов (например, усилителей );
• математическое обоснование механизмов сбора энтропии.

Стипчевич и Коч в 2014 году классифицировали физические явления, используемые для реализации TRNG, на четыре группы: ^[3]

• электрический шум;
• автономные генераторы;
• хаос;
• квантовые эффекты.

ГСЧ на основе шума обычно следуют одной и той же схеме: источник генератора шума подается в компаратор . Если напряжение выше порогового значения, на выходе компаратора будет 1, в противном случае — 0. Случайное значение бита фиксируется с помощью триггера. Источники шума различаются и включают в себя: ^[23]

• Шум Джонсона – Найквиста («тепловой шум»);
• Зенеровский шум ;
• лавинный обвал .

Недостатками использования источников шума для конструкции ГСЧ являются: ^[24]

• уровень шума трудно контролировать, он меняется в зависимости от изменений окружающей среды и от устройства к устройству;
• процессы калибровки, необходимые для обеспечения гарантированного количества энтропии, отнимают много времени;
• уровни шума обычно низкие, поэтому для конструкции требуются энергоемкие усилители. Чувствительность входов усилителя позволяет злоумышленнику манипулировать ими;
• расположенная рядом схема генерирует много неслучайного шума, что снижает энтропию;
• доказательство случайности практически невозможно, поскольку задействовано множество взаимодействующих физических процессов. ^[25]

Идея шума, основанного на хаосе, связана с использованием сложной системы, которую трудно охарактеризовать, наблюдая за ее поведением во времени. Например, лазеры могут быть переведены в режим хаоса (нежелательно в других приложениях) с хаотически изменяющейся мощностью, причем мощность определяется с помощью фотодиода и измеряется компаратором. Конструкция может быть довольно маленькой, поскольку все элементы фотоники могут быть интегрированы в кристалл. Стипчевич и Коч характеризуют этот метод как «наиболее нежелательный», в основном из-за того, что хаотическое поведение обычно контролируется дифференциальным уравнением и не привносится никакой новой случайности, поэтому существует вероятность того, что TRNG на основе хаоса создаст ограниченное подмножество возможные выходные строки. ^[26]

TRNG, основанные на свободном генераторе (FRO), обычно используют один или несколько кольцевых генераторов (RO), выходные сигналы которых дискретизируются с использованием еще одного генератора. Поскольку инверторы, образующие RO, можно рассматривать как усилители с очень большим коэффициентом усиления, выход FRO демонстрирует очень быстрые фазовые колебания в частотной области. TRNG на основе FRO очень популярны из-за использования стандартной цифровой логики, несмотря на проблемы с доказательствами случайности и изменчивостью от чипа к чипу. ^[26]

Технология квантовой генерации случайных чисел хорошо зарекомендовала себя благодаря 8 коммерческим продуктам квантового генератора случайных чисел ( QRNG ), предложенным до 2017 года. ^[27]

Эрреро-Коллантес и Гарсия-Эскартен называют следующие случайные процессы «квантовыми»:

• Исторически ядерный распад был самым ранним квантовым методом, использовавшимся с 1960-х годов, благодаря своей популярности благодаря наличию счетчиков Гейгера и калиброванных источников излучения . Сбор энтропии осуществлялся с использованием счетчика событий, выборка которого производилась периодически, или счетчика времени, выборка которого производилась во время события. Подобные конструкции использовались в 1950-х годах для генерации случайного шума в аналоговых компьютерах . Основными недостатками были проблемы радиационной безопасности , низкая скорость передачи данных и неравномерное распределение ; ^[28]
• Дробовой шум , источник квантово-механического шума, обнаруженный в электронных схемах, хотя технически и является квантовым эффектом, его трудно изолировать от теплового шума , поэтому, за некоторыми исключениями, источники шума, использующие его, являются лишь частично квантовыми и обычно классифицируются как «классические». ; ^[29]
• квантовая оптика :
  • генератор разветвленного пути с использованием светоделителя, так что фотон из однофотонного источника случайным образом выбирает один из двух путей и воспринимается одним из двух однофотонных детекторов, таким образом генерируя случайный бит; ^[30]
  • генератор времени прибытия и генератор счета фотонов используют слабый источник фотонов, энтропия которого собирается так же, как и в случае радиоактивного распада; ^[31]
  • генераторы ослабленных импульсов — это обобщение (упрощение аппаратуры) вышеперечисленных методов, позволяющее одновременно находиться в системе более одного фотона; ^[32]
  • вакуумных флуктуаций генераторы используют лазерное гомодинное обнаружение для исследования изменений состояния вакуума ; ^[33]
  • Генераторы лазерного фазового шума используют фазовый шум на выходе лазера с одной пространственной модой , который преобразуется в амплитуду с помощью несбалансированного интерферометра Маха-Цендера . Шум улавливается фотодетектором; ^[34]
  • усиленного спонтанного излучения генераторы используют спонтанное излучение света, присутствующее в оптических усилителях, в качестве источника шума; ^[35]
  • комбинационного рассеяния света Генераторы извлекают энтропию из взаимодействия фотонов с твердотельными материалами; ^[36]
  • оптических параметрических генераторов Генератор использует спонтанное параметрическое преобразование с понижением частоты, приводящее к выбору двоичного фазового состояния в вырожденном параметрическом генераторе оптических сигналов; ^[37]

Чтобы снизить затраты и повысить надежность квантовых генераторов случайных чисел, ^[38] реализованы онлайн-сервисы. ^[27]

Отказ TRNG может быть весьма сложным и незаметным, требующим проверки не только результатов (выходного потока битов), но и непредсказуемости источника энтропии. ^[9] Аппаратные генераторы случайных чисел должны постоянно контролироваться на предмет правильной работы, чтобы защититься от деградации источника энтропии вследствие естественных причин и преднамеренных атак. FIPS Pub 140-2 и NIST 800-90B. специальная публикация ^[39] определить тесты, которые можно использовать для этого.

Минимальный набор тестов в реальном времени, требуемый органами по сертификации, невелик; например, NIST в SP 800-90B требует всего два непрерывных теста на здоровье : ^[40]

1. тест подсчета повторений проверяет, что последовательности одинаковых цифр не слишком длинные. Для (типичного) случая TRNG, который оцифровывает один бит за раз, это означает отсутствие длинных строк из 0 или 1;
2. тест адаптивной пропорции проверяет, что любая случайная цифра не встречается слишком часто в потоке данных (низкое смещение ). Для бит-ориентированных источников энтропии это означает, что количество единиц и нулей в битовом потоке примерно одинаковое.

Этот раздел нуждается в дополнительных цитатах для проверки . Пожалуйста, помогите улучшить эту статью , ссылки на надежные источники добавив в этот раздел . Неиспользованный материал может быть оспорен и удален. Найти источники:   «Аппаратный генератор случайных чисел» — новости   · газеты   · книги   · ученые   · JSTOR ( сентябрь 2023 г. ) ( Узнайте, как и когда удалить это сообщение )

Очень легко неправильно сконструировать аппаратные или программные устройства, которые пытаются генерировать случайные числа. Кроме того, большинство из них «ломаются» молча, часто производя все более случайные числа по мере их ухудшения. Режимы отказа в таких устройствах многочисленны, они сложны, медленны и их трудно обнаружить. Методы, сочетающие несколько источников энтропии, более надежны.

Поскольку многие источники энтропии зачастую весьма хрупки и выходят из строя незаметно, статистические тесты их выходных данных должны проводиться постоянно. Многие, но не все, такие устройства включают такие тесты в программное обеспечение, считывающее данные с устройства.

Как и другие компоненты криптографической системы, криптографический генератор случайных чисел должен быть спроектирован так, чтобы противостоять определенным атакам . Защита от этих атак затруднена без аппаратного источника энтропии. ^{[ нужна ссылка ]}

Физические процессы в HRNG открывают новые возможности для атак. Например, TRNG на основе автономного генератора можно атаковать с помощью частотной инъекции . ^[41]

Существуют математические методы оценки энтропии последовательности символов. Ни один из них не является настолько надежным, чтобы на его оценки можно было полностью положиться; всегда существуют предположения, которые бывает очень трудно подтвердить. Они полезны, например, для определения того, достаточно ли энтропии в исходном пуле, но, как правило, они не могут отличить настоящий случайный источник от псевдослучайного генератора. Этой проблемы можно избежать за счет консервативного использования аппаратных источников энтропии.

• АН/ЦИЗ-9
• Тестовые эксперименты Белла
• /dev/случайный
• ЭРНИ
• Лаваранд (аппаратный генератор случайных чисел, основанный на движении плавающего материала в лавовых лампах)
• Список генераторов случайных чисел
• Лотерейный автомат
• РДРАНД
• Доверенный платформенный модуль

• Туран, Мелтем Сёнмез; Баркер, Элейн; Келси, Джон; Маккей, Керри А; Баиш, Мэри Л; Бойл, Майк (2018). NIST SP800-90B: Рекомендации по источникам энтропии, используемым для генерации случайных битов (отчет). Гейтерсбург, Мэриленд: Национальный институт стандартов и технологий. дои : 10.6028/nist.sp.800-90b .
• Темпл, М. (2016). Моделирование для науки о данных с помощью R . Пакт Паблишинг. ISBN  978-1-78588-587-7 . Проверено 7 августа 2023 г.
• Сааринен, Маркку-Юхани О.; Ньюэлл, Дж. Ричард; Маршалл, Бен (09 ноября 2020 г.). Создание современного TRNG: интерфейс источника энтропии для RISC-V (PDF) . Нью-Йорк, штат Нью-Йорк, США: ACM. дои : 10.1145/3411504.3421212 . Архивировано из оригинала 16 марта 2021 г. Проверено 9 сентября 2023 г. {{cite conference}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
• Шиндлер, Вернер (2009). «Генератор случайных чисел для криптографических приложений». Криптографическая инженерия . Бостон, Массачусетс: Springer US. стр. 5–23. дои : 10.1007/978-0-387-71817-0_2 . ISBN  978-0-387-71816-3 .
• Сунар, Берк (2009). «Истинные генераторы случайных чисел для криптографии». Криптографическая инженерия . Бостон, Массачусетс: Springer US. стр. 55–73. дои : 10.1007/978-0-387-71817-0_4 . ISBN  978-0-387-71816-3 .
• Л'Экуйер, Пьер (2017). История генерации единых случайных чисел (PDF) . Зимняя конференция по моделированию 2017 (WSC). Лас-Вегас, Невада, США: IEEE. дои : 10.1109/wsc.2017.8247790 . ISBN  978-1-5386-3428-8 . ISSN   1558-4305 .
• Стипчевич, Марио; Коч, Четин Кая (2014). «Настоящие генераторы случайных чисел». Открытые проблемы математики и вычислительной техники (PDF) . Чам: Международное издательство Springer. стр. 275–315. дои : 10.1007/978-3-319-10683-0_12 . ISBN  978-3-319-10682-3 .
• Эрреро-Коллантес, Мигель; Гарсиа-Эскартин, Хуан Карлос (22 февраля 2017 г.). «Квантовые генераторы случайных чисел». Обзоры современной физики . 89 (1). Американское физическое общество (APS). arXiv : 1604.03304 . Бибкод : 2017RvMP...89a5004H . дои : 10.1103/revmodphys.89.015004 . ISSN   0034-6861 .
• Генерация квантовых случайных чисел: теория и практика . Квантовая наука и технологии. Спрингер Чам . 2020. doi : 10.1007/978-3-319-72596-3 . ISBN  978-3-319-72596-3 .

• Генератор случайных чисел Intel (PDF) , Intel , 22 апреля 1999 г.
• ProtegoST SG100 , ProtegoST, «Аппаратный генератор случайных чисел «На основе квантовофизического источника случайных чисел из стабилитрона».