Efectuarea OTP de două sau mai multe ori cu un TRNG părtinitor: Va avea aceeași securitate ca și cum ar fi făcut cu un TRNG nepărtinitor?

Să presupunem că vreau să fac Bloc de o singură dată dar am doar o părtinire generator de numere aleatoare adevărate (TRNG).

I XOR la ​​blocul de text cifrat cu altul cu date aleatorii obținute de la TRNG, e repeta procesul de două sau de mai multe ori cu blocuri aleatoare diferite.

Această schemă va face One-Time-Pad mai sigur? Va oferi aceasta aceeași securitate ca și cum ar fi fost făcută cu un TRNG nepărtinitor?

Convergența procesului sugerat de dvs. către biți imparțiali este ghidată de Lema Piling Up. Va fi lent. Este mai eficient să se utilizeze proceduri de nepărtinire, cum ar fi imparțializarea von Neumann. Vezi de exemplu această întrebare

Dar acest lucru este, desigur, mai simplu datorită XOR direct.

Pentru $n$ independent distribuit identic $\{0,1\}$ variabile aleatoare evaluate, $X_1, X_2, \ldots X_n$:

$$ Pr(X_1 \oplus \ldots \oplus X_n = 0) = \frac{1}{2} + 2^{n-1} \prod_{i=1}^n \epsilon_i $$ Unde $\epsilon_i$ este părtinirea $X_i.$ Acest lucru dă părtinirea finală ca

$$ \epsilon_{1,2, \ldots, n} = 2^{n-1} \prod_{i=1}^n \epsilon_i $$

Pentru fiecare bit din blocurile tale combinate și luând exemplul părtinirii $\epsilon_i = 0,4$ pentru $i=1,\ldots, n$ (corespunzător celor 90% din celălalt răspuns) obținem părtiniri ca mai jos

\begin{matrice}{c|c|c} \textrm{Numărul de } și \textrm{Prejudiciul rezultat} și \textrm{Probabilitatea de 1} \ \textrm{blocuri combinate ($n$)} & & \ 2 și 0,32000 și 82,0\% \ 4 și 0,20480 și 70,4\% \ 8 și 0,083886 și 58,4\% \ 16 și 0,014074 și 51,4\% \end{matrice}

FYI, această convergență lentă din cauza $2^{n-1}$ factorul este motivul pentru care funcționează criptoanaliza liniară.

Cam da.

Multe modele TRNG se bazează în întregime pe circuite digitale și nu implică componente analogice [vezi nota]. Le face mai ușor de încorporat pe siliciu. Dar, din păcate, circuitele digitale au tendința de a funcționa digital și, prin urmare, sunt destul de slabe la generarea de entropie. Deci, în loc să vă dau un exemplu teoretic, iată un TRNG real cu părtinire foarte foarte slabă:-

Aceasta este de la a hârtie construirea unui FPGA TRNG.

Observați Decimatorul. Rolul lui este de a XOR succesiv $K_D$ mostre împreună pentru a crește entropia pe eșantion de ieșire. În acest caz, $K_D=7$, XORing efectiv șapte OTP împreună din perspectiva dvs. Mai târziu în acea ziare, $K_D$ ajunge la 185 pentru un alt design. Adică 185 de mostre TRNG părtinitoare XOR combinate folosind Lema acumulată. Nu găsesc referința pentru tine, dar am văzut un raport de decimare de 512 într-un oscilator inel TRNG.

Așadar, veți descoperi că XOR-urile multiple succesive sunt comune în toate TRNG-urile digitale sub formă de decimare. Evită tehnicile de extracție a entropiei mai complexe, cum ar fi hashingul, care necesită mai multă proprietate imobiliară de siliciu.

Notă.Presupun că în acest caz există circuite pur digitale, în timp ce îmi dau seama că toate circuitele sunt practic analogice la scară micro.