De ce DRBG poate masca micile abateri ale comportamentului sursei de entropie?

În NIST SP 800-90C, se spunea: „Micile abateri ale comportamentului sursei de entropie într-un NRBG vor fi mascate de ieșirea DRBG”. De ce DRBG poate masca micile abateri ale comportamentului sursei de entropie?

Poate cineva să dea matematica sau referința?

Luați în considerare acest construct de la 90C: -

HMAC-DRBG este doar PRNG-ul prea complicat (intenționat?) al NIST. Dar este încă doar un RNG cu o stare internă repetată. Odată ce starea este instanțiată (însămânțată) din sursa de entropie live, rulează.

Dacă entropia „slabă” este folosită pentru a o însămânța, funcțiile hash criptografice (SHA-256) în interiorul DRBG împreună cu avalanşă comportamentele vor produce în continuare ceea ce arată ca numere aleatoare perfect distribuite. Va „masca” entropia săracă. Imaginează-ți dacă sămânța ar avea doar 16 biți de entropie adevărată. 65.536 de fluxuri de ieșire diferite ar trece probabil neobservate (cel puțin pentru o perioadă).

Și poate continua să funcționeze chiar dacă sursa de entropie live moare sau este deconectată. Dacă starea internă este capabilă de o putere de securitate de 256 de biți, RNG-ul ar putea chiar să se întoarcă și în jurul valorii (teoretic). Dacă DRBG era altceva cu o stare mult mai mică, ciclismul este o posibilitate reală. Și de la acest Întrebări și răspunsuri, niciun test de aleatorie nu va detecta că ceea ce vă rămâne este doar un CSPRNG și nu un TRNG.

Astfel efectul de mascare. Periculos.