View
2
Download
0
Category
Preview:
Citation preview
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Güte von Zufallszahlen –Qualität von Zufallszahlen-Generatoren
Thomas RisseInstitut für Informatik & Automation, IIA
Fakultät E & I, Hochschule BremenUniversity of Applied Sciences
risse@hs-bremen.de
MathEng11, 30.9.2013Hochschule Bochum, University of Applied Sciences
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Agenda
1 Einführung
2 Güte-Kriterien für PRNGs
3 Güte-Kriterien für TRNGs
4 Resumé
http://dilbert.com/strips/comic/2001-10-25/
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
MotivationConsensusSecurityVulnerabilityAlert@sans.org 13/08/15
Title: Flaw in Android random number generator leaves Bitcoinwallets open to theft
Description: The official maintainers of the Bitcoin protocol havewarned this week that wallets generated by any Android-basedapplication are insecure due to flaws in the platform’s randomnumber generation scheme, leaving owners of such walletsvulnerable to theft due to the ease of cracking private keys. [. . . ]Users of such apps are encouraged to migrate away from insecurewallets through any feasible mechanism as soon as possible.Reference: http://bitcoin.org/en/alert/2013-08-11-android
www.taz.de/Digital-Waehrung-Bitcoin/!122041/ 18.8.13Als „privates Geld“ anerkannt!Die von Internetnutzern kontrollierte Währung wird vomBundesfinanzministerium künftig als „Rechnungseinheit“geführt. s.a. c’t 17/2011 S.74, 19/2013 S.78z.B. auch sans.org 13/08/31 [5], c’t 21/13 S.36 [19]
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Einführung
Wozu Zufallszahlen, RNs, bzw. -Generatoren, RNGs?z.B. block ciphers, RSA-moduli, keystream generation, zeroknowledge authentication, [11], [4], [16], PQC [15] etc per [9]
• Deterministische/Pseudo-RNGs, DRNG/PRNG
• physikalische/True RNGs, TRNG, PTRNG
Güte von Zufallszahlen = Qualität ihrer GeneratorenWas ist schon zufällig? vgl. NIST [16], hier nur statistisch!In Deutschland legt das BSI Güte-Kriterien fest, einschlägig:
• AIS 20 und AIS 31 [2] Bewertung von RNGs
• AIS20 [10] seit 1999 für PRNGs, z.T. ohne Hintergrund
• AIS31 [11] von 2011 für TRNGs, eher mit Hintergrund, R
Wen kümmert’s?
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Vorbemerkung’security by obscurity?’ ([1] = moving target)
• viele papers in vielen Versionen: de vs en, K1–K4 vs P1, P2
• mit hohem Grad an Formalismus/Verzeigerung
• mit Abkürzungsfimmel (FCS=?, EVG=Evaluationsgegenstand,TOE=Target of Evaluation, TSF = TOE Security Functionality)
Die folgenden Güte-Kriterien sind als Bausteine zu verstehen,die in unterschiedlichen, verhältnismäßig kompliziertenSettings für die Klassen (PTG.1-3, DRG.1-4, NTG.1) en.wikipedia.org
P1 ’Zufallszahlen machen die Krypto-Mechanismen resistentgegen Replay- und Korrelationsattacken.’
P2 ≈ wie P1 trotz Kenntnis von Vorgängern und Nachfolgern
und für die Widerstandsstärken niedrig, mittel, hoch zumEinsatz kommen.
Hier nicht berücksichtigt: Behandlung von Total-Ausfällen,Nachbearbeitung (Gleichverteilung, Glättung der Schiefe)
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Güte-Kriterien für PRNGsMonobit-Test : FIPS, HAC [14], NIST [16], BSI [10],[11] pp44
T1Sei n = 20000, T1 =
∑ni=1 bi . Die Bit-Folge
(bi)n
i=1passiert den Monobit-Test, falls 9654 < T1 < 10346.
T1 ist – Unabhängigkeit unterstellt! – binomial-verteilt mitE(T1) = np und Var(T1) = np(1−p) für p = P(b =1).Für p = 1
2 liefert SAGE [17] mit beliebiger GenauigkeitP(9654 < T1 < 10346) ≈ 0.999999078354697.T1 ist näherungsweise N(np, npq)-verteilt. Laut SAGEP(9654 < T1 < 10346) ≈ P(|U| < 4.89317892581091)≈ 0.999999503899380 für N(0, 1)-verteiltes U, wo
Φ(u) = 12
(1 + erf( u√
2))
Verteilungsfunktion von U ist.
⇒ BSI-Irrtumswahrscheinlichkeit ≤ 1− 0.999999 = 10−6
NB [14],[10],[11] untersuchen (auch) die näherungsweiseχ2 verteilte Testgröße T ′1 = 1
n (T1 − (n − T1))2 mitdf = 1.
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Güte-Kriterien für PRNGsPoker-Test : FIPS, HAC [14] 2bit, NIST [16], BSI [10],[11] pp46 typos
T2
Sei n = 20000. Je 4 bits zu Nibbles zusammenfassen.Sei hi := |{j : 8b4j−3 + 4b4j−2 + 2b4j−1 + b4j = i}|und T2 = 16
5000
∑15i=o h2
i − 5000. Die Bit-Folge(bi)n
i=1passiert den Poker-Test, falls 1.03 < T2 < 57.4.
T2 = 16n4
∑15i=o h2
i − n4 =∑15
i=o(hi−n4/16)2
n4/16 ≥ 0 mit n4 = n4
ist χ2-verteilt mit df = 15. NB BSI P(χ2 ≥ 56.49) = 10−6
SAGE: P(1.03<T2<57.4) =∫ 57.4
1.03xdf/2−1e−x/2
2df/2Γ(df/2)dx ≈
0.999998985794408 ≈ 1− 10−6. NB: schief!Es gilt Fdf (x) = P( df
2 ,x2 ) und für ungerades df
P( df2 ,
x2 ) = erf(
√x2 )− e−x/2
bdf/2c−1∑k=0
1Γ(k+3/2) ( x
2 )k+1/2
SAGE: P(1.03<T2<57.4) = F15(57.4)− F15(1.03) ≈0.999998985794408 ≈ 1− 10−6. NB: schief!
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Güte-Kriterien für PRNGsRun-Tests: FIPS, HAC [14], NIST [16] #runs, BSI [10],[11] pp47
T3
Sei n = 20000 und k` die Anzahl der runs der Länge `.Die Bit-Folge
(bi)n
i=1 passiert die Run-Tests, falls giltk1 ∈ [2267, 2733], k2 ∈ [1079, 1421], k3 ∈ [502, 748],k4 ∈ [233, 402], k5 ∈ [90, 223] und k≥6 ∈ [90, 22
33]
0-runs oder 1-runs der Länge ` treten mit prun = 12`+2 an
jeder der n − `− 1 Stellen und an den beiden Rändernmit je p′run = 2prun auf.⇒ E(K`) = n−`−1+2+2
2`+2 = n−`+32`+2 .
T3` =1∑
b=0
∑̀i=1
(k(b)i −E(Ki ))2
E(Ki )mit ki = k (0)
i +k (1)i ≈ χ2-verteilt
mit df = 2`−1 = #Beob – #Param. NB [14] = 2`−2, NB [13] = 2`SAGE’s find_root etwa: P(T31 < 10−12) ≈ 0.5 · 10−6
und P(T31 > 25.263820726226815) ≈ 0.5 · 10−6, (BSIeinseitig P(T31 < 23.9281269768) = 1− 10−6) was mitE(K1) = n+2
8 = 2500.25 eben NB k1 ∈ [2322, 2677] ?bzw. NB k1 ∈ [2327, 2673] ? impliziert. Zählweise?
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Güte-Kriterien für PRNGs
Longrun-Test : FIPS, NIST [16] longest/block, BSI [10],[11] p49
T4Sei n = 20000. Die Bit-Folge
(bi)n
i=1 passiert denLongrun-Test, falls k` = 0 für alle ` ≥ 34.
P(k` = 0) =F (`)
n+22n mit den Fibonacci `-Schritt Zahlen [21]
F (`)k =
∑`i=1 F (`)
k−i mit F (`)k =0 für k ≤ 0 und F (`)
1 =F (`)2 =1.
SAGE: P(k34 = 0) ≈ 0.999999418854882 ≈ 1− 10−6
und P(k` = 0)↗ für `↗Schon überschlägig liefert SAGE übrigens:P(k` > 0 für mindestens ein ` ≥ 34) ≈ (n − 34)2−34 ≈1.16217415779829 · 10−6
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Güte-Kriterien für PRNGs
Autokorrelationstest : HAC [14], NIST [16], BSI [10],[11] pp49
T5
Sei n = 20000 und T5τ =∑n/4
j=1 bj ⊕ bj+τ fürτ ∈ {1, 2, ..., n
4}. Die Bit-Folge(bi)n
i=1 passiert denAutokorrelationstest, falls |T5τ − n
8 | < 174 für alle τ .NB: hier ist nur die erste Hälfte der (bi) relevant!?!
Die T5τ sind näherungsweise N( n4
12 ,
n4
12
12 )-verteilt. Mit
SAGE u = 174√n/16
= 1.74·4√2≈ 4.92146319705837 gilt
P(|T5τ − n8 | < 174) = P(|U| < u) = 2Φ(u)− 1 ≈
0.99999914100 ≈ 1− 10−6 für N(0, 1)-verteiltes U.
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Güte-Kriterien für PRNGsGleichverteilungstest : HAC 2bit, NIST
templatematching, BSI [10],[11] pp50
T6
Generiere wj ∈ {0, 1}k aus(bi)nk
i=1; T6x :=|{j:wj =x}|
n
ist relative Häufigkeit von x. Bit-Folge(bi)nk
i=1 passiertden Gleichverteilungstest für Parameter k , n und α,falls
∣∣T6x − 2−k∣∣ < α für alle x ∈ {0, 1}k .
Gleichverteilungstests sind verallgemeinerte Monobit-Tests!BSI [10],[11] p55 Test Procedure B:•T6 mit NB k = 1,n = 105 und α = 0.025. Explizit p51: (bi)
ni=1 passiert,
wenn |T6o − 12 | < α ? •T1 ? NB nur für ’PTRNG’.
Sei b ∈ {0, 1} und hb = #b in (bi)ni=1. unabhängig!
χ2-Anpassungstest: T6 =∑1
b=0(hb−n/2)2
n/2 ist χ2-verteilt
mit df = 1. BSI-Bedingung |hbn −
12 | ≤ α für b ∈ {0, 1} ⇒
(hb− n2 )2 ≤ α2n2⇒ T6 ≤ 250. SAGE P(T6 ≤ 250) = 1,
NB während SAGE P(T6 ≤≈ 23.9) ≈ 1− 10−6 ?
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Güte-Kriterien für PRNGsMultinomial-, Homogenitätstest : BSI [10],[11] pp51
T7
Aus(bk)
k generiere wi,j ∈ {0, 1, ..., s−1} für i = 1, .., hj = 1, .., n
d.h. h unabhängige Wiederh. des j-ten Experimentes.Sei fi(t) = |{j : wij = t}| und pt = 1
hn
∑hi=1 fi(t).
Die Bit-Folge(bi)
i passiert den Multinomialtest fürh, s, n und α, falls T7 ≤ χ2(α, (h−1)(s−1)) mit
T7 =∑h
i=1
∑s−1t=o
(fi (t)−n pt )2
n pt
Nicht (mehr) aktuell: BSI-Beispiel für h = s = 2, d.h. i = 1, 2und template t = 0, 1 – angelehnt an [8], Test 76.Zwei n-elementige Stichproben wi,1,wi,2, . . . ,wi,n für i = 1, 2von je n bits. Bestimmeabsolute Häufigkeit fi (t) = |{j : wi,j = t}| von t je Stichprobe
relative Häufigkeit pt = f1(t)+f2(t)2n von t in beiden Stichproben
T7 =∑h
i=1
∑s−1t=o
(fi (t)−npt )2
nptist χ2-verteilt,
df = (h−1)(s−1) = 1 und laut BSI p37, Tabelle [10],[11] p46P(T7 ≥ 15.13) = α = 0.0001 ?
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Güte-Kriterien für PRNGsBSI [10],[11] pp55 Test Procedure B schreibt (mit typos) dreiTests vor – bei NB drei verschiedene Darstellungen•T7 pp51,p56, pp58 NB•T7 nur für ’PTRNG’ trotz pp58 (typos)
step 2 bits •T7?Extrahiere TFr = {(b2j+1, b2j+2) : b2j+1 = r} mit |TF0| = |TF1| =n1 = 105 aus Bitfolge. Bestimme vr (i) =
|{j:(b2j+1,i)∈TFr}|n1
. Bitfolgepassiert Test, wenn |v0(1)+v1(0)−1| < α1 = 0.02? v0(0)? v1(1)?
step 3 bits •T7 vermutlich mit h = 2? oder h = 4?, s = 2Extrahiere TFrs = {(b3j+1, .., b3j+3) : (b3j+1, b3j+2) = (rs)} mit|TFoo| = |TFo1| = |TF1o| = |TF11| = n2 = 105 aus Bitfolge.Bestimme vrs(i) :=
|{j:(b3j+1,..,b3j+3)=(rsi)}|n2
.’for each s∈{0, 1} compare v0s and v1s with•T7 at α2 = 0.0001’
step 4 bits •T7 vermutlich mit h = 3? oder h = 8?, s = 2Extrahiere TFrst = {(b4j+1, ..., b4j+4) : (b4j+1, .., b4j+3) = (rst)}mit |TFooo| = |TFoo1| = ... = |TF111| = n3 = 105 aus Bitfolge.Bestimme vrst(i) :=
|{j:(b4j+1,..,b4j+4)=(rsti)}|n3
.’for each (s, t)∈{0, 1}2 compare v0st and v1st with•T7 at α3 = 0.0001’
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Güte-Kriterien für PRNGsEntropietest : HAC, NIST
approx.entropy, BSI [10],[11] pp52
in accor-dance with [3],[4]
T8
Generiere wn ∈ {0, 1}L aus(bi)(Q+K )L
i=1 . Sei An derAbstand von wn zu einem identischen Vorgänger,
d.h. An =
{n falls kein i ≥ 1 existiert mit wn = wn−i
min{i ≥ 1 : wn = wn−i} sonst
Sei T8 = 1K
∑Q+Kn=Q+1 g(An) mit g(i) = 1
log 2
∑i−1k=1
1k
≈log i+γ+ 1
2i +1
12i2
log 2 +O( 1i4 ) mit γ ≈ 0.577216 Euler.
Die Bit-Folge(bi)(Q+K )L
i=1 passiert den Entropietest,falls T8 näherungsweise N(µ, σ2)-verteilt ist:mit ’tabellierten’ µ = µ(L,K ) und σ = σ(L,K )
BSI [10],[11] pp55 Test Procedure B:(bi)n
i=1 passiert•T8
mit L = 8, Q = 10 ·2L = 2560, K = 1000 ·2L = 256000,µ = L, σ = c(L,K )
√Var(g(An))/K , falls T8 > 7.976
NB einseitig? NB nur für ’PTRNG’.
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Güte-Kriterien für PRNGsGenese: Maurer’s universal test Coron 6≡ BSI
Maurer [13]: fTU = 1K
∑Q+Kn=Q+1 log2(An) mit unabhängig von n
E(fTU ) = E(log2(An)) = 2−L∑∞i=1(1− 2−L)i−1 log2(i) und
näherungsweise Var(fTU ) = c2(L,K )Var(log2(An))/K mit
c(L,K ) ≈ 0.7− 0.8L + (4 + 32
L ) K−3/L
15 für L� Q � KVar(log2(An)) = 2−L∑∞
i=1(1− 2−L)i−1 log22(i)− E2(fTU ).
Coron&Naccache [3],[4] verallgemeinert/korrigiert Maurer zuf gTU
= 1K
∑Q+Kn=Q+1 g(An), was für g(i) = 1
log 2
∑i−1k=1
1k zu
E(f gTU
) = L bit = Entropie von L-bit Blöcken einer ergodischenstationären Quelle sowie zu exakter Darstellung und folgendbesserer Approximation von c(L,K ) führt.NB Tabelle 1 für Var(log2(An)), d(L) und e(L) inc2(L,K ) = d(L)+e(L) · 2L/K in [3] für log2, in [4] für obiges g
BSI [10],[11] mit obigem g, typo auch in [12] SAGE σ ≈ 0.002vs BSI σ = 0.0014 und P(T8>7.976) = P(U>−10.64) ≈ 1 ?NB einseitig? im Widerspruch zu [13],[3],[4]
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Güte-Kriterien für TRNGsNeben den Tests•T1 bis•T8 für PRNGs fordert BSI für TRNGs[10],[11] p.44, [12] p.35 zudem den Disjunktheitstest
T0
Generiere w1, ...,w216 ∈ {0, 1}48. TRNG passiert denDisjunktheitstest, if w1, ...,w216 mutually disjoint (p.44),if subsequent members are pairwise different (p.35).
Unabhängigkeit und P(b =0) = 12 = P(b =1) unterstellt, gilt
P(∃i ∈ {2, ..., 216} mit wi−1 = wi) = 1− (1− 2−48)216−1
≈ 2−32.0000220141152 laut SAGE bzw. ≈ 2162−48 = 2−32
6= 2−17 rejection probability [10],[11] p.44 ? mit 2−17 ≈ 10−5 ?
sowie Nachweis/Beweis der Unabhängigkeit
• [12],S.12 nachvollziehbarer Nachweis per math. Modell• [12],S.32 Der Einfachheit halber wird angenommen, daß
die digitalisierten Rauschsignale unabhängig sind.Konkret: Aufgrund des mathematischen Modells kann dieVerteilung als stationär und unabhängig angenommenwerden.
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
Resumémeine Wünsche an die Darstellung
• Klarheit, z.B. konsistente Bezeichnungen in•T7
• keep it simple, z.B. Test procedure A und Test procedure B
• Redundanz eliminieren, z.B.•T7, Test procedure B,contingency table test
• Klärung: was ist z.B. eine ’typische Nutzung des TRNG’? [12]
m.E. gibt es reichlich Klärungsbedarf:
RNGs Einschluß-/Ausschluß-Kriterien für Tests?[16], [9] u.a.: binary matrix rank, DFT, templatematching, linear complexity, random walks . . . ?Irrtumswahrscheinlichkeiten?•T0 nicht auch fürPRNG? deutscher Sonderweg?
PRNG PRNG produziert immer dieselben nZufallszahlen, die die Tests bestanden haben?
(P)TRNG Wie kann man Unabhängigkeit beweisen?
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
References[1] BSI: Anwendungshinweise und Interpretationen (zum Schema), AIS;
https://www.bsi.bund.de/DE/Themen/
ZertifizierungundAnerkennung/ZertifizierungnachCCundITSEC/
AnwendungshinweiseundInterpretationen/AIS/aiscc_node.html
[2] BSI: Evaluation of random number generators, Version 0.10, 2013https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/
Zertifizierung/Interpretationen/AIS_20_AIS_31_Evaluation_
of_random_number_generators_e.pdf?__blob=publicationFile
[3] Jean-Sebastien Coron, David Naccache: An Accurate Evaluation ofMaurers Universal Test; Proc. of SAC’98; Springer LNCS 1998,http://www.jscoron.fr/publications/universal.pdf
[4] Jean-Sebastien Coron: On the Security of Random Sources; in H.Imai, Y. Zheng, Eds.: Public-Key Cryptography; LNCS vol. 1560, pp.29-42, Springer 1999 www.jscoron.fr/publications/entropy.pdf
[5] Yevgeniy Dodis, David Pointcheval, Sylvain Ruhault, DamienVergnaud, Daniel Wichs: Security Analysis of Pseudo-RandomNumber Generators with Input: /dev/random is not Robust; ACMConference on Computer and Communication Security, CCS,November 2013 http://eprint.iacr.org/2013/338.pdf
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
References’
[6] William Feller: An Introduction to Probability Theory; Wiley 1968http://ruangbacafmipa.staff.ub.ac.id/files/2012/02/An-
Introduction-to-probability-Theory-by-William-Feller.pdf
[7] Federal Information Processing Standards, FIPS,NIST: FIPS PUB 140 Security Requirements for Cryptographic Modules,NIST: FIPS PUB 186 Specifications for the Digital Signature Standard
[8] Gopal K. Kanji: 100 Statistical Tests; SAGE Publications 2006http://fcc-statistics.wikispaces.com/file/view/100+
Statistical+Tests.pdf
[9] Charmaine Kenny: Random Number Generators – An Evaluation andComparison of Random.org and Some Commonly Used Generators;Trinity College Dublin, April 2005,http://www.random.org/analysis/Analysis2005.pdf
[10] Wolfgang Killmann, Werner Schindler: Functionality Classes andEvaluation Methodology for Random Number Generators; s. [1]AIS20_Functionality_classes_for_random_number_generators.pdf
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
References”[11] Wolfgang Killmann, Werner Schindler: Functionality Classes and
Evaluation Methodology for Random Number Generators; s. [1] 2011AIS31_Functionality_classes_for_random_number_generators.pdf
[12] Wolfgang Killmann, Werner Schindler: Functionality Classes andEvaluation Methodology for True (Physical) Random NumberGenerators; s. [1], version 3.1, 2001AIS_31_Functionality_classes_evaluation_methodology_for_true_RNG_e.pdf
[13] Ueli M. Maurer: A Universal Statistical Test for Random BitGenerators; Journal of Cryptology, vol. 5, no. 2, 1992, pp. 89-105ftp://ftp.inf.ethz.ch/pub/crypto/publications/
Maurer92a.pdf
[14] Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone:Handbook of Applied Cryptography; CRC Press, October 1996http://cacr.uwaterloo.ca/hac/
[15] Thomas Risse: How SAGE helps to implement Goppa Codes and theMcEliece Public Key Crypto System; Ubiquitous Computing andCommunication Journal, UbiCC, ISSN 1992-8424, Special Issue on5th International Conference on Information Technology (ICIT’11)www.weblearn.hs-bremen.de/risse/papers/UbiCC11
RNs – RNGs
Thomas RisseIIA, HSB, Germany
Einführung
PRNG-Kriterien
TRNG-Kriterien
Resumé
References”’
[16] Andrew Rukhin et al: A Statistical Test Suite for Random andPseudorandom Number Generators for Cryptographic Applications;National Institute of Standards and Technology, NIST April 2010http://csrc.nist.gov/publications/nistpubs/
800-22-rev1a/SP800-22rev1a.pdf
[17] William A. Stein et al.: SAGE Mathematics Software – System forAlgebraic and Geometric Experimentation; www.SAGEmath.org
[18] Werner Schindler: Functionality Classes and Evaluation Methodologyfor Deterministic Random Number Generators; BSI, version 2.0, 1999AIS_20_Functionality_Classes_Evaluation_Methodology_DRNG_e.pdf
[19] Dan Shumow, Niels Ferguson: On the Possibility of a Back Door in theNIST SP800-90 Dual EC PRNG;http://rump2007.cr.yp.to/15-shumow.pdf
[20] Eric W. Weisstein: Run; MathWorld – A Wolfram Web Resourcehttp://mathworld.wolfram.com/Run.html
[21] Eric W. Weisstein: Fibonnacci; MathWorld – A Wolfram Web Resourcemathworld.wolfram.com/Fibonaccin-StepNumber.html
Recommended