Beneficiile hashingului unei anumite semințe într-un PRNG

Această întrebare este legată de această întrebare (stackoverflow) unde am întrebat despre un detaliu specific de implementare a generatorului de numere aleatoare Python (Mersenne Twister). Aici, am un accent ușor diferit. Simțiți-vă liber să închideți, dar nu am putut găsi o întrebare similară care să răspundă exact la întrebarea mea

• Într-un PRNG, care ar fi beneficiul hashingului unei anumite semințe (furnizat de utilizator)?
• Ar exista beneficii suplimentare dacă s-ar aplica sare?

De exemplu, în cazul Pythons, acestea fac ambele, unde sarea folosită este sămânța însăși.

EDITAȚI | ×: Sunt întrebat despre un caz de utilizare la care îmi este greu să răspund? Studierea implementării mai multor PRNG în mai multe limbi populare, pare să-și facă întotdeauna hash / sare / modifică semințele furnizate de utilizatorii lor. Vezi de exemplu https://github.com/python/cpython/blob/a57ec7a4feaf24f470a9d1e5b1b3f2cb1b062af7/Lib/random.py#L157

Deoarece majoritatea limbilor par să facă acest lucru, mă întreb de ce ei hash semințele utilizatorilor în loc să le parseze pur și simplu în PRNG

Când semănăm orice fel de PRNG, este posibil să avem date neuniforme în entropia sa. De exemplu, poate singura noastră sursă de aleatorietate criptografic sigură este un set de UUID aleatoriu sub formă de șir. Cu toate acestea, în majoritatea implementărilor PRNG, dorim ca aleatoria noastră să fie uniformă și de dimensiune fixă. Pentru a obține asta, avem nevoie de un fel de a distila intrarea în dimensiunea corespunzătoare, iar o funcție hash este o modalitate ușoară de a face asta.

Când avem un PRNG non-criptografic, intrarea furnizată de utilizator poate fi adesea de orice dimensiune și este adesea util să îi permitem utilizatorului să furnizeze o sămânță arbitrară. De exemplu, unele jocuri video vă permit să adăugați PRNG-ul lor cu text arbitrar pentru a reda același joc, iar asta ar trebui să fie distilat într-o intrare adecvată, pentru care o funcție hash este potrivită. Sarea în acest caz nu ar fi la fel de utilă, deoarece scopul este de a produce un rezultat determinist.

Când folosim un CSPRNG, algoritmul pe care îl folosim este determinist, dar dorim să-l însămânțăm cu intrări de entropie suficientă pentru a ne asigura că rezultatul său este de neghicit. Adică, scopul nostru este ieșirea nedeterministă. Unele modele aleg să forțeze intrările să fie de entropie uniformă, dar majoritatea modelelor folosesc un fel de funcție de derivare, cum ar fi cea folosită de CTR_DRBG, pentru a permite intrări neuniforme. Uneori, acești algoritmi se bazează pe o funcție hash, iar uneori nu sunt. De exemplu, CTR_DRBG folosește o funcție de derivare bazată pe cifr-bloc pentru a face întregul algoritm implementabil doar cu o implementare AES. HMAC_DRBG folosește HMAC în acest rol, care se bazează pe hash.

Design-urile DRBG permit utilizarea unui șir de sare sau de personalizare și este adesea recomandat. O sare fixă ​​sau non-aleatorie nu va îmbunătăți securitatea dacă există o entropie insuficientă, deoarece presupunem că sarea este publică, dar există contexte în care poate fi utilă, cum ar fi dacă mai multe DRBG-uri trebuie să fie însămânțate din aceleași intrări de entropie.

Există unele cazuri în care folosim un design CSPRNG pentru o ieșire deterministă care nu se poate distinge de aleatoriu, iar sarea este utilă acolo. De exemplu, în RFC 6979, care descrie DSA și ECDSA deterministe, folosim un HMAC_DRBG pentru a crea valoarea aleatorie $ k $. Cheia privată este intrarea noastră de entropie, iar hash-ul mesajului este sarea, iar ambele sunt necesare pentru securitate.