Dionathan Nakamura Orientador: Routo Terada. 26 de Abril de 2011

(1)

Gera¸cão de números aleatórios

Gera¸c˜

ao de n´

umeros aleat´

orios

Dionathan Nakamura Orientador: Routo Terada

DCC – IME – USP

(2)

Gera¸cão de números aleatórios

Roteiro

1 Resumo

2 Introdu¸c˜ao

3 Geradores de bits aleat´orios

4 Geradores de bits pseudoaleat´orios

5 Testes estat´ısticos

6 Cryptographically secure PRBG

7 Hardcore bit theory

(3)

Gera¸cão de números aleatórios Resumo

Roteiro

1 Resumo

2 Introdu¸c˜ao

3 Geradores de bits aleat´orios 4 Geradores de bits pseudoaleat´orios 5 Testes estat´ısticos

6 Cryptographically secure PRBG 7 Hardcore bit theory

(4)

Gera¸cão de números aleatórios Resumo

Resumo

introdu¸c˜ao e defini¸c˜oes;

classifica¸c˜ao dos geradores (bits e n´umeros);

tipos de geradores de bits aleat´orios (hardware, software, inclinado);

exemplos de geradores de bits pseudoaleatórios (propósito de simula¸cão);

testes estat´ısticos;

geradores de bits pseudoaleat´orios criptograficamente seguros; conex˜ao com a teoria do hardcore bit;

(5)

Gera¸cão de números aleatórios Introdu¸cão

Roteiro

1 Resumo

2 Introdu¸c˜ao

(6)

Motiva¸c˜

ao

Nessa parte referente à revisão dos fundamentos de gera¸cão de números aleatórios é utilizado o livro [1]: “Handbook of Applied Cryptography” de Menezes, Vanstone e Oorschot de 1996.

gera¸c˜ao de chaves;

NONCEs (number used once); simula¸c˜oes estat´ısticas;

loterias (slot machines);

(7)

Exemplo — gera¸c˜

ao de chaves

Vamos ver dois m´etodos para gerar uma chave para o DES: ao escolher uma chave k de 56 bits temos um espa¸co amostral de 256_;

essa chave ´e obtida a partir de um gerador verdadeiramente aleat´orio;

(8)

Exemplo — gera¸c˜

ao de chaves

Vamos ver um outro cen´ario:

primeiramente é escolhido um segredo s de 16 bits; usamos para isso um gerador verdadeiramente aleatório; em seguida, expandimos s em uma chave k de 56 bits; essa expansão é feita usando uma complicada fun¸cão f, todavia conhecida;

assim, o advers´ario teria em m´edia apenas que testar 215 poss´ıveis k;

(9)

Classifica¸c˜

ao

Um gerador de bits aleatório (RBG – random bit generator ) é um dispositivo ou algoritmo que produz uma seqüência de d´ıgitos binários estatisticamente independentes e uniformes (unbiased ).

Um RBG pode ser usado para gerar n´umeros aleat´orios (uniformemente distribu´ıdos). Por exemplo:

obter um inteiro aleat´orio no intervalo [0, N];

geramos com um RBG uma seqüência de tamanho blg Nc + 1; convertemos essa seqüência em um inteiro;

(10)

Classifica¸c˜

ao

Fontes de bits verdadeiramente aleatórios têm como origem meios f´ısicos, na prática. Que na maioria são lentos e ineficientes. Ainda, pode ser impraticável armazenar com seguran¸ca tais fontes de dados e transmitir uma grande quantidade de bits.

Uma maneira de amenizar o problema seria utilizar um gerador de bits pseudoaleat´orio (PRBG – pseudorandom bit generator ):

´

e um algoritmo determin´ıstico (para uma mesma semente, sempre gera a mesma seq¨uˆencia de bits);

dada uma seqüência binária de entrada (semente) de tamanho k,

(11)

Estudo sobre o PRBG

a sa´ıda de um PRBG não é aleatória;

de todas poss´ıveis seqüências binárias, apenas uma fra¸cão delas 2₂kl poderá ser gerada;

a inten¸cão é conseguir expandir uma pequena seqüência de bits verdadeiramente aleatória para uma seqüência maior; um adversário não poderá eficientemente distingüir a sa´ıda de uma seqüência verdadeiramente aleatória;

um restri¸c˜ao m´ınima de seguran¸ca ´e que a semente tenha um tamanho k suficientemente grande,

desse modo, para um adversário computar os 2k poss´ıveis elementos é impraticável;

(12)

Exemplo — linear congruential generator

gera uma seqüência de números pseudoaleatórios x1, x2, x3, ...; xn= axn−1+ b mod m, n ≥ 1;

sendo x0 a semente;

este gerador passa em testes estat´ısticos;

pode ser utilizado para simula¸c˜oes probabil´ısticas;

(13)

Defini¸c˜

oes

Um PRBG é dito passar em um teste estat´ıstico, se nenhum algoritmo de tempo polinomial é capaz de distingüir a sa´ıda do gerador de uma seqüência verdadeiramente aleatória de mesmo tamanho; acertando com uma probabilidade significativamente maior que 1₂.

(14)

Defini¸c˜

oes

universality of next-bit test: um PRBG passa em um next-bit test se e somente se, ele passa em todos os testes estat´ısticos de tempo polinomial.

(15)

Gera¸cão de números aleatórios Geradores de bits aleatórios

Roteiro

1 Resumo 2 Introdu¸c˜ao

4 Geradores de bits pseudoaleat´orios 5 Testes estat´ısticos

(16)

Baseados em hardware

tempo decorrido entre a emiss˜ao de part´ıculas durante um decl´ınio radioativo,

ru´ıdo térmico de um diodo semicondutor ou um resistor, a instabilidade de freqüência de um ocilador livre, a quantidade de carga em um capacitor dentro de um intervalo fixo,

a turbulˆencia dentro de um d´ısco r´ıgido selado, a entrada de som de um microfone,

(17)

Contrapartida

tais fontes s˜ao sucept´ıveis a fatores externos e tamb´em, mal funcionamento,

(18)

Baseados em software

a hora do sistema;

o tempo decorrido entre toques de teclado ou movimentos do mouse;

conte´udo dos buffers de entrada e sa´ıda; entrada do usu´ario;

(19)

Contrapartida

o comportamento de tais processos podem variar conforme a plataforma;

algumas fontes podem dar a um advers´ario uma boa id´eia do estado do computador,

ele poderia adivinhar a hora do sistema com um alto grau de acur´acia;

a constru¸c˜ao do gerador deveria utilizar tantas boas fontes quanto dispon´ıveis,

(20)

Fontes de erros

H´a duas fontes de erros bastante comuns em geradores: a sa´ıda pode estar inclinada (biased ),

ou seja, a probabilidade de emitir um 1 n˜ao ´e igual a 1₂; a sa´ıda pode estar correlacionada,

(21)

De-skewing

Vamos ver um m´etodo para endireitar (de-skewing) uma fonte defeituosa (inclinada apenas):

suponha Pr (1) = p e Pr (0) = 1 − p; sendo p desconhecido, mas 0 < p < 1; a sa´ıda do gerador ´e agrupada aos pares; o par “10” ´e transformado em 1;

o par “01” ´e transformado em 0; o par “11” ´e descartado;

o par “00” ´e descartado.

(22)

Gera¸cão de números aleatórios Geradores de bits pseudoaleatórios

Roteiro

4 Geradores de bits pseudoaleat´orios

(23)

Defini¸c˜

oes

Uma one-way function f é uma fun¸cão que pode calcular eficientemente f (x ). Por outro lado, dado y ∈ Im(f ) não é fácil calcular x de modo que f (x ) = y .

Uma one-way function f pode ser utilizada para gerar seqüências de bits aleatórios. Usando-se a semente s, aplica-se os valores s, s + 1, s + 2, ... em f, a sa´ıda é f (s), f (s + 1), f (s + 2), ....

Vamos ver dois PRBG padronizados ad-hoc que utilizam o SHA1 e o DES como f.

(24)

Ansi X9.17

(25)

FIPS 186

(26)

(27)

(28)

(29)

Gera¸cão de números aleatórios Testes estat´ısticos

Roteiro

3 Geradores de bits aleat´orios 4 Geradores de bits pseudoaleat´orios

(30)

Caracter´ısticas

Apresentamos cincos testes estat´ısticos básicos, eles verificam se um PRBG gera uma seqüência que apresenta cinco caracter´ısticas que se espera encontrar em uma seqüência verdadeiramente aleatória.

(31)

Frequency test (monobit test)

O prospósito desse teste é verificar se o números de 0s e 1s são aproximadamente os mesmos. Seja n0 e n1 os números de 0s e 1s respectivamente:

X1 = (n0− n1) 2 n

(32)

Serial test (two-bit test)

(33)

Poker test

Seja m um inteiro positivo tal que b_mnc ≥ 5.2m _{e k = b}n mc. Divide a seqüência (s) em (k) partes disjuntas de tamanho (m). O teste verifica se seqüências de tamanho (m) aparecem o mesmo número de vezes.

(34)

Runs test

run: uma seq¨uˆencia de 0s (ou 1s) adjacentes; gap: uma run de 0s;

block: uma run de 1s.

O prospósito do testes é verificar se o número de runs é o esperado de uma seqüência aleatória. O número esperado de gaps (ou blocks) é:

(35)

Autocorrelation test

Seja d um inteiro fixado tal que 1 ≤ d ≤ bn₂c. O objetivo é checar as correla¸cões entre a seqüência s e versões deslocadas (não c´ıclicas) dela. Para isso calcula:

A(d ) = n−d −1

X

i =0

(36)

FIPS 140-1 statistical tests for randomness

(37)

Maurer’s universal statistical test

uma seqüência verdadeiramente aleatória não deveria ser pass´ıvel de compressão;

esse teste verifica o n´ıvel de compressibilidade da seq¨uˆencia gerada;

ele não comprime efetivamente a seqüência, mas faz um cálculo relacionado com o n´ıvel de compressibilidade; isso torna o teste bastante rápido;

a universalidade do teste se baseia no fato de conseguir capturar as falhas obtidas nos outros testes;

(38)

Gera¸cão de números aleatórios Cryptographically secure PRBG

Roteiro

(39)

(40)

Eficiˆ

encia do RSA PRNG

assume a intratabilidade do problema do RSA; o valor de e presisa ser pequeno para gerar poucas multiplica¸c˜oes modulares;

para aumentar a eficiˆencia, no passo 3.2, podem ser extra´ıdos c.lg lg n bits

(41)

(42)

Seguran¸ca do Micali-Schnorr PRNG

basta ter r de um tamanho que n˜ao seja poss´ıvel tentar todas possibildades;

suposi¸cão matemática: a distribui¸cão de xemod n para seqüências de x de r-bits é indistingü´ıvel de uma distribui¸cão uniforme;

(43)

(44)

Eficiˆ

encia do Blum-Blum-Shub

assume a intratabilidade do problema da fatora¸cão em primos; o valor de e já é pequeno;

para aumentar a eficiˆencia, no passo 3.2, podem ser extra´ıdos c.lg lg n bits

(45)

Gera¸cão de números aleatórios Hardcore bit theory

Roteiro

7 Hardcore bit theory

(46)

Estudos sobre a seguran¸ca dos bits

Shafi Goldwasser and Silvio Micali and Po Tong. Why and How to Establish a Private Code on a Public Network. 1982. [2]

computar a paridade da mensagem (LSB) ´e equivalente a inverter o RSA;

M. Ben-Or and B. Chor and A. Shamir. On the Cryptographic Security of Single RSA Bits. 1983. [3]

n˜ao ´e poss´ıvel predizer o LSB da mensagem no RSA com vantagem maior que 75%;

(47)

Estudos sobre a seguran¸ca dos bits

Werner Alexi and Benny Chor and Oded Goldreich and Claus P. Schnorr. RSA and Rabin Functions: Certain Parts Are as Hard as the Whole. 1988. [4]

o LSB da mensagem do RSA é imprevis´ıvel; isto é, o LSB é 1₂ +_{poly (n)}1 -seguro;

os lg n bits menos significativos s˜ao seguros.

Dan Boneh and Ramarathnam Venkatesan. Hardness of

computing the most significant bits of secret keys in Diffie-Hellman and related schemes. 1996. [5]

os √lg p bits mais significativos (MSBs) no problema do logaritmo discreto s˜ao seguros;

(48)

Estudos sobre a seguran¸ca dos bits

Dan Boneh and Igor Shparlinski. On the Unpredictability of Bits of the Elliptic Curve Diffie–Hellman Scheme. 2001. [6]

prova que o LSB da abscissa do ponto combinado ´e imprevis´ıvel e seguro;

Dimitar Jetchev and Ramarathnam Venkatesan. Bits Security of the Elliptic Curve Diffie-Hellman Secret Keys. 2008. [7]

(49)

Trabalhos recentes

Chevalier, C´eline and Fouque, Pierre-Alain and Pointcheval, David and Zimmer, S´ebastien. Optimal Randomness Extraction from a Diffie-Hellman Element. 2009. [8]

apresenta um m´etodo para extrair aleatoridade de uma fonte de entropia;

trabalhos anteriores conseguiam extrair 82 bits de uma curva de 200 bits;

nesse artigo, os autores extraem 102 bits com a mesma distˆancia estat´ıstica;

fazem uma otimiza¸c˜ao no NIST SP 800-90 elliptic curve Dual Random Bit Generator (DRBG);

(50)

Trabalhos recentes

Roh, Dongyoung and Hahn, Sang Geun. On the bit security of the weak Diffie-Hellman problem. 2010. [9]

expandem resultados anteriores de Shparlinski;

(51)

Gera¸cão de números aleatórios Referências

Roteiro

(52)

[1] Alfred J. Menezes, Scott A. Vanstone, and Paul C. Van Oorschot.

Handbook of Applied Cryptography.

CRC Press, Inc., Boca Raton, FL, USA, 1st edition, 1996. [2] Shafi Goldwasser, Silvio Micali, and Po Tong.

Why and how to establish a private code on a public network (extended abstract).

In FOCS, pages 134–144, Chicago, Illinois, November 1982. IEEE.

[3] M. Ben-Or, B. Chor, and A. Shamir.

On the cryptographic security of single RSA bits.

(53)

RSA and Rabin functions: Certain parts are as hard as the whole.

SIAM Journal on Computing, 17(2):194–209, April 1988. [5] Dan Boneh and Ramarathnam Venkatesan.

Hardness of computing the most significant bits of secret keys in Diffie-Hellman and related schemes.

In Neal Koblitz, editor, Advances in Cryptology – CRYPTO ’ 96, volume 1109 of Lecture Notes in Computer Science, pages 129–142. International Association for Cryptologic Research, Springer-Verlag, Berlin Germany, 1996.

[6] Dan Boneh and Igor Shparlinski.

On the unpredictability of bits of the elliptic curve Diffie–Hellman scheme.

(54)

Bits security of the elliptic curve Diffie-Hellman secret keys.

In David Wagner, editor, CRYPTO 2008, volume 5157 of Lecture Notes in Computer Science, pages 75–92. Springer, 2008.

[8] C´eline Chevalier, Pierre-Alain Fouque, David Pointcheval, and

S´ebastien Zimmer.

Optimal randomness extraction from a diffie-hellman element.

In Proceedings of the 28th Annual International Conference on Advances in Cryptology: the Theory and Applications of Cryptographic Techniques, EUROCRYPT ’09, pages 572–589, Berlin, Heidelberg, 2009. Springer-Verlag.

[9] Dongyoung Roh and Sang Geun Hahn.

On the bit security of the weak diffie-hellman problem.