înregistrare Logare
Puncte:2
DurandA avatar Crypto

Extracție aleatorie dintr-o sursă Santha-Vazirani (semi-aleatorie).

drapel us
DurandA

În încercarea de a înțelege mai bine extractoarele aleatorii (în contextul post-procesării TRNG), am citit câteva lucrări despre Extractor von Neumann și Santha-Vazirani (SV-) surse. Extractorul von Neumann este un algoritm simplu care funcționează pe surse independente, părtinitoare, cum ar fi o monedă părtinitoare. Cu toate acestea, sursele fizice disponibile ale aleatoriei sunt imperfecte și părtinitoare și corelate. Santha și Vazirani definesc o astfel de sursă, cunoscută ca sursă SV.

Lucrarea Santha-Vazirani demonstrează aparent că este imposibil să extragi (determinist) un bit aleatoriu aproape uniform dintr-o sursă SV. Nu am cunoștințele matematice necesare pentru a înțelege demonstrația, dar această afirmație chiar mă încurcă. De exemplu, m-aș aștepta ca o funcție hash să producă biți aleatori uniformi dintr-o sursă SV.

Ce înseamnă de fapt această demonstrație? Este imposibil să creezi un TRNG bun dintr-o singură sursă (acest lucru nu se aplică mai multor) părtinitoare și corelată?

230
1 + 1
Paul Uszak avatar
drapel cn
Paul Uszak
Nu-mi pasă de oameni care redenumesc sursele cunoscute după ei înșiși. Ignorați _"SV"_ și numiți-l doar "corelat", așa cum o fac toți ceilalți.
2
Răspunde
Puncte:2
Paul Uszak avatar Crypto
drapel cn
Paul Uszak

Cu toate acestea, sursele fizice disponibile ale aleatoriei sunt imperfecte și sunt părtinitoare și corelate.

Nu, nu sunt. Sursele nu produc de fapt nicio entropie. Nici unul. Imaginează-ți o diodă Zener sau un circuit oscilator inel în fața ta. Ei doar stau acolo uitându-se la circuit.

The observator generează entropia la eșantionarea sursei. Sursa nu. Aceasta duce la conceptul de $ (\epsilon, \tau) $-entropia pe unitatea de timp, unde "$ (\epsilon, \tau) $-entropia este cantitatea de informație generată pe unitatea de timp, la diferite scări $\tau$ de timp şi $\epsilon$ dintre observabile”. Rată de eșantionare și rezoluție eficientă. Aceasta înseamnă că observatorul poate varia la infinit rata de entropie a sursei la discreția sa, schimbând oricare dintre ele $\tau$ sau $\epsilon$.

Acest lucru duce apoi la o problemă asimetrică cu două părți: Cum măsurăm $H_{\infty}$ pentru surse corelate? Există două soluții asimetrice: -

  1. Încercați să determinați $H_{\infty}$ pentru o sursă corelată cu o certitudine foarte scăzută.

  2. Reglați-vă $ (\epsilon, \tau) $ regimul de eșantionare pentru a produce date necorelate cu înaltă certitudine.

Practic nimeni nu face numărul 1 și chiar și NIST o are spus este aproape imposibil (comentariile nepăzite ale lui Kerry McKay). Nu-mi pot imagina ce $H_{\infty}$ înseamnă practic într-un scenariu corelat. Așa că faceți numărul 2 așa cum o face majoritatea copleșitoare, obțineți $H_{\infty}$ la fel de $-\log_2{(p_{\text{max}})}$ și extrage.

Prin urmare ea este este posibil să se creeze un TRNG bun dintr-un părtinitoare și corelate sursă.

Lucrarea Santha-Vazirani demonstrează aparent că este imposibil să extragi (determinist) un bit aleatoriu aproape uniform dintr-o sursă SV.

Nu chiar. De fapt spune ", prin contrast, demonstrăm că nu există un algoritm care să poată extrage chiar și un singur bit imparțial dintr-o sursă semi-aleatorie (de fapt, nu mai bine decât un 1 - $\delta$ bit părtinitor). " Aceasta este cunoștințe stabilite și apare în toate tipurile de lucrări „extractor”. Înseamnă pur și simplu că orice aleatorie extrasă va avea întotdeauna un 1 - $\delta$ părtinire. NIST vă recomandă doar să îl păstrați mai jos $2^{-64}$ ceea ce este ușor.

Ref.: Pierre Gaspard și Xiao-Jing Wang, Zgomot, haos și $ (\epsilon, \tau) $-entropia pe unitatea de timp, RAPOARTE DE FIZICĂ (Secțiunea de revizuire a scrisorilor de fizică) 235, nr. 6 (1993) 291â343. Olanda de Nord.

0 + 8
DurandA avatar
drapel us
DurandA
Mulțumiri. Am început să citesc referința Gaspard-Wang. În cazul unui semnal eșantionat digital, este $\epsilon$ spațiul simbolului (de exemplu, 2 pentru un semnal binar)?
0
Răspunde
Paul Uszak avatar
drapel cn
Paul Uszak
@DurandA Cred că l-au lăsat vag pentru că pot fi câteva lucruri. Ar putea fi rezoluția ADC în biți sau ar putea fi în milivolți (acestea sunt legate desigur). În ceva de genul TRNG „haveged” este numărul de valori de biți. În esență, este lucrul pe care _"observați_", adică măsurați (acesta nu este timpul, deoarece este $\tau$).
1
Răspunde
DurandA avatar
drapel us
DurandA
Acum înțeleg mai bine observația dvs. despre eșantionarea de înaltă frecvență a sursei corelate în [întrebarea mea conexă](https://crypto.stackexchange.com/q/92020/39499).
1
Răspunde
Paul Uszak avatar
drapel cn
Paul Uszak
@DurandA Da. Imaginați-vă că aruncați un zar corect la fiecare 10 secunde. Eșantionați-l la 1 probă/s și aveți o corelație aproape perfectă. Dar eșantionați-l la fiecare 11 secunde și aveți o sursă necorelată. Și nu contează cu adevărat că mergi mai încet în al doilea caz, deoarece în primul caz rata ta de entropie ar fi oricum foarte scăzută din cauza autocorelației.
1
Răspunde
DurandA avatar
drapel us
DurandA
„_arătăm că niciun algoritm de extragere a biților nu este uniform bun pentru fiecare distribuție semi-aleatorie cu parametrul $\delta$_”: cum se poate aplica acest lucru la funcțiile hash?
0
Răspunde
Paul Uszak avatar
drapel cn
Paul Uszak
@DurandA Nu pot matematic - sunt un tip experimental.Există multe lucrări de extragere cu matematica. Dar funcțiile hash sunt deterministe. Ei înșiși nu introduc entropie. Imaginați-vă o funcție hash de 8 biți alimentată de entropie brută de 8 biți părtinitoare (părținată astfel încât toate valorile > 63). În timp ce domeniul de ieșire va fi răspândit uniform la prima vedere, va lipsi în mod necesar un sfert din valorile sale posibile, deoarece este o mapare 1:1 (de fapt surjection, dar ignorați asta). Puteți reduce $\delta$, dar nu la zero absolut.
1
Răspunde
DurandA avatar
drapel us
DurandA
Nu mi-am dat seama că luând o intrare părtinitoare mai lungă, de ex. hashingul a 1 Mb de date aleatoare părtinitoare și corelate la 256 de biți nu ar produce o ieșire uniformă, ci mai degrabă aproape de uniformă. Demonstrația se aplică numai datelor părtinitoare **și corelate**, nu? În caz contrar, datele pot fi preprocesate de un extractor von Neumann. Multumesc pentru timpul acordat.
0
Răspunde
Paul Uszak avatar
drapel cn
Paul Uszak
@DurandA Am petrecut ceva timp lucrând la TRNG-uri și cred că cea mai ușoară (și mai sigură) metodă este să vă ajustați regimul de eșantionare $(\epsilon, \tau)$, astfel încât mostrele dvs. să nu fie corelate. vN devine atunci irelevant.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.