Derivarea numerelor aleatoare din numere aleatorii

Dacă am un „număr cu adevărat aleatoriu” $K$ de $L$ biți (indiferent ce înseamnă „adevărat aleatoriu”... este o valoare dintr-o distribuție normală un număr cu adevărat aleatoriu, sau numai distribuțiile uniforme sunt considerate „cu adevărat aleatoare”?) și un „număr cu adevărat aleatoriu” $T$ de $M \le L$ biți,

dintre care algoritmi aritmetici/bit-bit $K$ și $T$ poate genera noi numere cu adevărat aleatorii? Dacă $M=L$, este $K + T$ sau $K\ xor\ T$ un număr cu adevărat aleatoriu? sau daca $M\lt L$, faceți metode ca HKDF-extinde-etichetă, HKDF-extract, sau doar sha256 peste $K$ și $T$ genera numere cu adevărat aleatorii? (de exemplu, împărțirea $K$ în $L/M$ blocuri de $M$ biți, aplicați unele dintre aceste metode și conectați-le ieșirile).

Aș dori să știu mai multe despre ce proprietăți sunt necesare pentru ca un algoritm determinist să producă numere cu adevărat aleatorii, cu condiția ca intrările sale să fie numere cu adevărat aleatorii.

Câteva presupuneri (presupunând $M=L$ pentru simplitate), $K + T$ este un număr cu adevărat aleatoriu, dar $K\ pe biți\_și\ T$ nu este.

NOTĂ: Întrebarea mea se referă la contextul cifrurilor unice pad. Vreau să stochez textul cifrat și $K$ separat și transferați-l pe un canal securizat numai atunci când este necesară decriptarea, dar în loc de transfer $K$ în sine, care ar putea fi foarte lung, deoarece trebuie să se potrivească cu lungimea textului simplu (care poate fi foarte lungă), mă gândesc la calcul $K$ prin derivare din $J$ (de dimensiune $L$) și $T$ de mărime $M$, ambele fiind numere aleatorii. $J$ este stocat pe partea clientului, $T$ este stocat pe partea de server și preluat printr-un canal securizat și $K$ este în sfârșit derivat din partea clientului și eliminat din memorie imediat după decriptare. Întrebarea mea de mai sus este, în sfârșit, despre ce funcție de derivare să folosiți astfel încât $K$ nu se poate distinge de un număr cu adevărat aleatoriu presupunând $J$ și $T$ sunt numere cu adevărat aleatorii.

În ceea ce privește aritmetica pe biți/operatorii pe biți pe numere aleatoare independente distribuite uniform (criptografia folosește de obicei aleatoriu uniform, dar există excepții, de exemplu, în criptografia prin rețea), XOR oferă o distribuție uniformă, + dă o distribuție triunghiulară și oferă o distribuție în care $P(N)=0,25^{w(N)}0,75^{L-w(N)}$ Unde $w$ este greutatea Hamming, produsul este complicat, diferența este triunghiulară, OR dă o distribuție ca AND, dar cu rolurile lui $w(N)$ și $L-w(N)$ inversat, NOR are aceeași distribuție ca AND, NAND are aceeași distribuție ca OR.

Efectul funcțiilor hash criptografice asupra intrării uniforme nu este de obicei cunoscut ca fiind uniform, dar este adesea modelat ca atare.

Pentru un pad unic, veți dori o distribuție uniformă pe toate tastele de aceeași lungime ca și textul simplu. O funcție hash universală ar trebui să realizeze acest lucru, dar asigurați-vă că intrările sunt secrete, distribuite corespunzător și utilizate o singură dată.

Toți algoritmii pe care i-ați menționat (HKDF și SHA-256) sunt pseudoaleatorii. În general, orice abordare pe care o veți folosi aici pentru a extinde unele numere cu adevărat aleatorii în alte secvențe este, de asemenea, pseudoaleatoare. Asta pentru că acești algoritmi sunt determiniști: dacă introduceți aceleași date (entropie), atunci veți obține aceleași rezultate.

Numerele aleatoare adevărate provin dintr-o sursă fizică și nu sunt deterministe. Acestea pot fi dezintegrare radioactivă, zgomot termic, oscilatoare care rulează liber sau alte tipuri de surse. Deoarece acestea nu produc neapărat un număr egal de unu și zero și eșecul nu este necunoscut, de obicei există un fel de filtrare și procesare, care poate fi un algoritm criptografic precum AES-CBC-MAC sau SHA-256 sau un fel de eliminarea sau reducerea părtinirii, cum ar fi XORing sau debiasarea Von Neumann, sau ambele.

Dacă ați folosit un TRNG și ați produs biți aleatori, ați putea să-i XOR cu mai mulți biți dintr-un TRNG și să obțineți aceeași securitate, dar ar fi o prostie pentru că folosiți de două ori mai mulți biți dintr-un TRNG pentru a nu câștiga securitate. În mod similar, puteți efectua adăugarea modulară pe octeți cu două valori TRNG, dar din nou aceasta are aceeași limitare. ȘI pe biți influențează ieșirea, astfel încât ar slăbi securitatea.

Deoarece orice algoritm de extindere a ieșirii unui TRNG va fi pseudoaleator în loc de cu adevărat aleatoriu, ceea ce propui, în esență, sună ca un cifr de flux cu o cheie pre-partajată bazată pe un TRNG. Cu toate acestea, asta e perfect ca design! Atâta timp cât alegeți un cifr de flux securizat, acesta este un design legitim și sigur. Cu toate acestea, cifrurile de flux nu sunt pad-uri unice și nu sunt sigure, dar sunt mult mai convenabile de utilizat în viața reală.

Dacă alegeți să urmați această abordare, vă recomand cu căldură să alegeți o bibliotecă existentă, bine concepută pentru a construi aceasta. TLS are suport pentru cheile pre-partajate și, desigur, există și alte biblioteci care pot face acest lucru și pentru mesaje.