RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Güte von Zufallszahlen –Qualität von Zufallszahlen-Generatoren

Thomas RisseInstitut für Informatik & Automation, IIA

Fakultät E & I, Hochschule BremenUniversity of Applied Sciences

risse@hs-bremen.de

MathEng11, 30.9.2013Hochschule Bochum, University of Applied Sciences

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Agenda

1 Einführung

2 Güte-Kriterien für PRNGs

3 Güte-Kriterien für TRNGs

4 Resumé

http://dilbert.com/strips/comic/2001-10-25/

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

MotivationConsensusSecurityVulnerabilityAlert@sans.org 13/08/15

Title: Flaw in Android random number generator leaves Bitcoinwallets open to theft

Description: The official maintainers of the Bitcoin protocol havewarned this week that wallets generated by any Android-basedapplication are insecure due to flaws in the platform’s randomnumber generation scheme, leaving owners of such walletsvulnerable to theft due to the ease of cracking private keys. [. . . ]Users of such apps are encouraged to migrate away from insecurewallets through any feasible mechanism as soon as possible.Reference: http://bitcoin.org/en/alert/2013-08-11-android

www.taz.de/Digital-Waehrung-Bitcoin/!122041/ 18.8.13Als „privates Geld“ anerkannt!Die von Internetnutzern kontrollierte Währung wird vomBundesfinanzministerium künftig als „Rechnungseinheit“geführt. s.a. c’t 17/2011 S.74, 19/2013 S.78z.B. auch sans.org 13/08/31 [5], c’t 21/13 S.36 [19]

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Einführung

Wozu Zufallszahlen, RNs, bzw. -Generatoren, RNGs?z.B. block ciphers, RSA-moduli, keystream generation, zeroknowledge authentication, [11], [4], [16], PQC [15] etc per [9]

• Deterministische/Pseudo-RNGs, DRNG/PRNG

• physikalische/True RNGs, TRNG, PTRNG

Güte von Zufallszahlen = Qualität ihrer GeneratorenWas ist schon zufällig? vgl. NIST [16], hier nur statistisch!In Deutschland legt das BSI Güte-Kriterien fest, einschlägig:

• AIS 20 und AIS 31 [2] Bewertung von RNGs

• AIS20 [10] seit 1999 für PRNGs, z.T. ohne Hintergrund

• AIS31 [11] von 2011 für TRNGs, eher mit Hintergrund, R

Wen kümmert’s?

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Vorbemerkung’security by obscurity?’ ([1] = moving target)

• viele papers in vielen Versionen: de vs en, K1–K4 vs P1, P2

• mit hohem Grad an Formalismus/Verzeigerung

• mit Abkürzungsfimmel (FCS=?, EVG=Evaluationsgegenstand,TOE=Target of Evaluation, TSF = TOE Security Functionality)

Die folgenden Güte-Kriterien sind als Bausteine zu verstehen,die in unterschiedlichen, verhältnismäßig kompliziertenSettings für die Klassen (PTG.1-3, DRG.1-4, NTG.1) en.wikipedia.org

P1 ’Zufallszahlen machen die Krypto-Mechanismen resistentgegen Replay- und Korrelationsattacken.’

P2 ≈ wie P1 trotz Kenntnis von Vorgängern und Nachfolgern

und für die Widerstandsstärken niedrig, mittel, hoch zumEinsatz kommen.

Hier nicht berücksichtigt: Behandlung von Total-Ausfällen,Nachbearbeitung (Gleichverteilung, Glättung der Schiefe)

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Güte-Kriterien für PRNGsMonobit-Test : FIPS, HAC [14], NIST [16], BSI [10],[11] pp44

T1Sei n = 20000, T1 =

∑ni=1 bi . Die Bit-Folge

(bi)n

i=1passiert den Monobit-Test, falls 9654 < T1 < 10346.

T1 ist – Unabhängigkeit unterstellt! – binomial-verteilt mitE(T1) = np und Var(T1) = np(1−p) für p = P(b =1).Für p = 1

2 liefert SAGE [17] mit beliebiger GenauigkeitP(9654 < T1 < 10346) ≈ 0.999999078354697.T1 ist näherungsweise N(np, npq)-verteilt. Laut SAGEP(9654 < T1 < 10346) ≈ P(|U| < 4.89317892581091)≈ 0.999999503899380 für N(0, 1)-verteiltes U, wo

Φ(u) = 12

(1 + erf( u√

2))

Verteilungsfunktion von U ist.

⇒ BSI-Irrtumswahrscheinlichkeit ≤ 1− 0.999999 = 10−6

NB [14],[10],[11] untersuchen (auch) die näherungsweiseχ2 verteilte Testgröße T ′1 = 1

n (T1 − (n − T1))2 mitdf = 1.

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Güte-Kriterien für PRNGsPoker-Test : FIPS, HAC [14] 2bit, NIST [16], BSI [10],[11] pp46 typos

T2

Sei n = 20000. Je 4 bits zu Nibbles zusammenfassen.Sei hi := |{j : 8b4j−3 + 4b4j−2 + 2b4j−1 + b4j = i}|und T2 = 16

5000

∑15i=o h2

i − 5000. Die Bit-Folge(bi)n

i=1passiert den Poker-Test, falls 1.03 < T2 < 57.4.

T2 = 16n4

∑15i=o h2

i − n4 =∑15

i=o(hi−n4/16)2

n4/16 ≥ 0 mit n4 = n4

ist χ2-verteilt mit df = 15. NB BSI P(χ2 ≥ 56.49) = 10−6

SAGE: P(1.03<T2<57.4) =∫ 57.4

1.03xdf/2−1e−x/2

2df/2Γ(df/2)dx ≈

0.999998985794408 ≈ 1− 10−6. NB: schief!Es gilt Fdf (x) = P( df

2 ,x2 ) und für ungerades df

P( df2 ,

x2 ) = erf(

√x2 )− e−x/2

bdf/2c−1∑k=0

1Γ(k+3/2) ( x

2 )k+1/2

SAGE: P(1.03<T2<57.4) = F15(57.4)− F15(1.03) ≈0.999998985794408 ≈ 1− 10−6. NB: schief!

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Güte-Kriterien für PRNGsRun-Tests: FIPS, HAC [14], NIST [16] #runs, BSI [10],[11] pp47

T3

Sei n = 20000 und k` die Anzahl der runs der Länge `.Die Bit-Folge

(bi)n

i=1 passiert die Run-Tests, falls giltk1 ∈ [2267, 2733], k2 ∈ [1079, 1421], k3 ∈ [502, 748],k4 ∈ [233, 402], k5 ∈ [90, 223] und k≥6 ∈ [90, 22

33]

0-runs oder 1-runs der Länge ` treten mit prun = 12`+2 an

jeder der n − `− 1 Stellen und an den beiden Rändernmit je p′run = 2prun auf.⇒ E(K`) = n−`−1+2+2

2`+2 = n−`+32`+2 .

T3` =1∑

b=0

∑̀i=1

(k(b)i −E(Ki ))2

E(Ki )mit ki = k (0)

i +k (1)i ≈ χ2-verteilt

mit df = 2`−1 = #Beob – #Param. NB [14] = 2`−2, NB [13] = 2`SAGE’s find_root etwa: P(T31 < 10−12) ≈ 0.5 · 10−6

und P(T31 > 25.263820726226815) ≈ 0.5 · 10−6, (BSIeinseitig P(T31 < 23.9281269768) = 1− 10−6) was mitE(K1) = n+2

8 = 2500.25 eben NB k1 ∈ [2322, 2677] ?bzw. NB k1 ∈ [2327, 2673] ? impliziert. Zählweise?

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Güte-Kriterien für PRNGs

Longrun-Test : FIPS, NIST [16] longest/block, BSI [10],[11] p49

T4Sei n = 20000. Die Bit-Folge

(bi)n

i=1 passiert denLongrun-Test, falls k` = 0 für alle ` ≥ 34.

P(k` = 0) =F (`)

n+22n mit den Fibonacci `-Schritt Zahlen [21]

F (`)k =

∑`i=1 F (`)

k−i mit F (`)k =0 für k ≤ 0 und F (`)

1 =F (`)2 =1.

SAGE: P(k34 = 0) ≈ 0.999999418854882 ≈ 1− 10−6

und P(k` = 0)↗ für `↗Schon überschlägig liefert SAGE übrigens:P(k` > 0 für mindestens ein ` ≥ 34) ≈ (n − 34)2−34 ≈1.16217415779829 · 10−6

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Güte-Kriterien für PRNGs

Autokorrelationstest : HAC [14], NIST [16], BSI [10],[11] pp49

T5

Sei n = 20000 und T5τ =∑n/4

j=1 bj ⊕ bj+τ fürτ ∈ {1, 2, ..., n

4}. Die Bit-Folge(bi)n

i=1 passiert denAutokorrelationstest, falls |T5τ − n

8 | < 174 für alle τ .NB: hier ist nur die erste Hälfte der (bi) relevant!?!

Die T5τ sind näherungsweise N( n4

12 ,

n4

12

12 )-verteilt. Mit

SAGE u = 174√n/16

= 1.74·4√2≈ 4.92146319705837 gilt

P(|T5τ − n8 | < 174) = P(|U| < u) = 2Φ(u)− 1 ≈

0.99999914100 ≈ 1− 10−6 für N(0, 1)-verteiltes U.

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Güte-Kriterien für PRNGsGleichverteilungstest : HAC 2bit, NIST

templatematching, BSI [10],[11] pp50

T6

Generiere wj ∈ {0, 1}k aus(bi)nk

i=1; T6x :=|{j:wj =x}|

n

ist relative Häufigkeit von x. Bit-Folge(bi)nk

i=1 passiertden Gleichverteilungstest für Parameter k , n und α,falls

∣∣T6x − 2−k∣∣ < α für alle x ∈ {0, 1}k .

Gleichverteilungstests sind verallgemeinerte Monobit-Tests!BSI [10],[11] p55 Test Procedure B:•T6 mit NB k = 1,n = 105 und α = 0.025. Explizit p51: (bi)

ni=1 passiert,

wenn |T6o − 12 | < α ? •T1 ? NB nur für ’PTRNG’.

Sei b ∈ {0, 1} und hb = #b in (bi)ni=1. unabhängig!

χ2-Anpassungstest: T6 =∑1

b=0(hb−n/2)2

n/2 ist χ2-verteilt

mit df = 1. BSI-Bedingung |hbn −

12 | ≤ α für b ∈ {0, 1} ⇒

(hb− n2 )2 ≤ α2n2⇒ T6 ≤ 250. SAGE P(T6 ≤ 250) = 1,

NB während SAGE P(T6 ≤≈ 23.9) ≈ 1− 10−6 ?

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Güte-Kriterien für PRNGsMultinomial-, Homogenitätstest : BSI [10],[11] pp51

T7

Aus(bk)

k generiere wi,j ∈ {0, 1, ..., s−1} für i = 1, .., hj = 1, .., n

d.h. h unabhängige Wiederh. des j-ten Experimentes.Sei fi(t) = |{j : wij = t}| und pt = 1

hn

∑hi=1 fi(t).

Die Bit-Folge(bi)

i passiert den Multinomialtest fürh, s, n und α, falls T7 ≤ χ2(α, (h−1)(s−1)) mit

T7 =∑h

i=1

∑s−1t=o

(fi (t)−n pt )2

n pt

Nicht (mehr) aktuell: BSI-Beispiel für h = s = 2, d.h. i = 1, 2und template t = 0, 1 – angelehnt an [8], Test 76.Zwei n-elementige Stichproben wi,1,wi,2, . . . ,wi,n für i = 1, 2von je n bits. Bestimmeabsolute Häufigkeit fi (t) = |{j : wi,j = t}| von t je Stichprobe

relative Häufigkeit pt = f1(t)+f2(t)2n von t in beiden Stichproben

T7 =∑h

i=1

∑s−1t=o

(fi (t)−npt )2

nptist χ2-verteilt,

df = (h−1)(s−1) = 1 und laut BSI p37, Tabelle [10],[11] p46P(T7 ≥ 15.13) = α = 0.0001 ?

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Güte-Kriterien für PRNGsBSI [10],[11] pp55 Test Procedure B schreibt (mit typos) dreiTests vor – bei NB drei verschiedene Darstellungen•T7 pp51,p56, pp58 NB•T7 nur für ’PTRNG’ trotz pp58 (typos)

step 2 bits •T7?Extrahiere TFr = {(b2j+1, b2j+2) : b2j+1 = r} mit |TF0| = |TF1| =n1 = 105 aus Bitfolge. Bestimme vr (i) =

|{j:(b2j+1,i)∈TFr}|n1

. Bitfolgepassiert Test, wenn |v0(1)+v1(0)−1| < α1 = 0.02? v0(0)? v1(1)?

step 3 bits •T7 vermutlich mit h = 2? oder h = 4?, s = 2Extrahiere TFrs = {(b3j+1, .., b3j+3) : (b3j+1, b3j+2) = (rs)} mit|TFoo| = |TFo1| = |TF1o| = |TF11| = n2 = 105 aus Bitfolge.Bestimme vrs(i) :=

|{j:(b3j+1,..,b3j+3)=(rsi)}|n2

.’for each s∈{0, 1} compare v0s and v1s with•T7 at α2 = 0.0001’

step 4 bits •T7 vermutlich mit h = 3? oder h = 8?, s = 2Extrahiere TFrst = {(b4j+1, ..., b4j+4) : (b4j+1, .., b4j+3) = (rst)}mit |TFooo| = |TFoo1| = ... = |TF111| = n3 = 105 aus Bitfolge.Bestimme vrst(i) :=

|{j:(b4j+1,..,b4j+4)=(rsti)}|n3

.’for each (s, t)∈{0, 1}2 compare v0st and v1st with•T7 at α3 = 0.0001’

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Güte-Kriterien für PRNGsEntropietest : HAC, NIST

approx.entropy, BSI [10],[11] pp52

in accor-dance with [3],[4]

T8

Generiere wn ∈ {0, 1}L aus(bi)(Q+K )L

i=1 . Sei An derAbstand von wn zu einem identischen Vorgänger,

d.h. An =

{n falls kein i ≥ 1 existiert mit wn = wn−i

min{i ≥ 1 : wn = wn−i} sonst

Sei T8 = 1K

∑Q+Kn=Q+1 g(An) mit g(i) = 1

log 2

∑i−1k=1

1k

≈log i+γ+ 1

2i +1

12i2

log 2 +O( 1i4 ) mit γ ≈ 0.577216 Euler.

Die Bit-Folge(bi)(Q+K )L

i=1 passiert den Entropietest,falls T8 näherungsweise N(µ, σ2)-verteilt ist:mit ’tabellierten’ µ = µ(L,K ) und σ = σ(L,K )

BSI [10],[11] pp55 Test Procedure B:(bi)n

i=1 passiert•T8

mit L = 8, Q = 10 ·2L = 2560, K = 1000 ·2L = 256000,µ = L, σ = c(L,K )

√Var(g(An))/K , falls T8 > 7.976

NB einseitig? NB nur für ’PTRNG’.

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Güte-Kriterien für PRNGsGenese: Maurer’s universal test Coron 6≡ BSI

Maurer [13]: fTU = 1K

∑Q+Kn=Q+1 log2(An) mit unabhängig von n

E(fTU ) = E(log2(An)) = 2−L∑∞i=1(1− 2−L)i−1 log2(i) und

näherungsweise Var(fTU ) = c2(L,K )Var(log2(An))/K mit

c(L,K ) ≈ 0.7− 0.8L + (4 + 32

L ) K−3/L

15 für L� Q � KVar(log2(An)) = 2−L∑∞

i=1(1− 2−L)i−1 log22(i)− E2(fTU ).

Coron&Naccache [3],[4] verallgemeinert/korrigiert Maurer zuf gTU

= 1K

∑Q+Kn=Q+1 g(An), was für g(i) = 1

log 2

∑i−1k=1

1k zu

E(f gTU

) = L bit = Entropie von L-bit Blöcken einer ergodischenstationären Quelle sowie zu exakter Darstellung und folgendbesserer Approximation von c(L,K ) führt.NB Tabelle 1 für Var(log2(An)), d(L) und e(L) inc2(L,K ) = d(L)+e(L) · 2L/K in [3] für log2, in [4] für obiges g

BSI [10],[11] mit obigem g, typo auch in [12] SAGE σ ≈ 0.002vs BSI σ = 0.0014 und P(T8>7.976) = P(U>−10.64) ≈ 1 ?NB einseitig? im Widerspruch zu [13],[3],[4]

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Güte-Kriterien für TRNGsNeben den Tests•T1 bis•T8 für PRNGs fordert BSI für TRNGs[10],[11] p.44, [12] p.35 zudem den Disjunktheitstest

T0

Generiere w1, ...,w216 ∈ {0, 1}48. TRNG passiert denDisjunktheitstest, if w1, ...,w216 mutually disjoint (p.44),if subsequent members are pairwise different (p.35).

Unabhängigkeit und P(b =0) = 12 = P(b =1) unterstellt, gilt

P(∃i ∈ {2, ..., 216} mit wi−1 = wi) = 1− (1− 2−48)216−1

≈ 2−32.0000220141152 laut SAGE bzw. ≈ 2162−48 = 2−32

6= 2−17 rejection probability [10],[11] p.44 ? mit 2−17 ≈ 10−5 ?

sowie Nachweis/Beweis der Unabhängigkeit

• [12],S.12 nachvollziehbarer Nachweis per math. Modell• [12],S.32 Der Einfachheit halber wird angenommen, daß

die digitalisierten Rauschsignale unabhängig sind.Konkret: Aufgrund des mathematischen Modells kann dieVerteilung als stationär und unabhängig angenommenwerden.

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

Resumémeine Wünsche an die Darstellung

• Klarheit, z.B. konsistente Bezeichnungen in•T7

• keep it simple, z.B. Test procedure A und Test procedure B

• Redundanz eliminieren, z.B.•T7, Test procedure B,contingency table test

• Klärung: was ist z.B. eine ’typische Nutzung des TRNG’? [12]

m.E. gibt es reichlich Klärungsbedarf:

RNGs Einschluß-/Ausschluß-Kriterien für Tests?[16], [9] u.a.: binary matrix rank, DFT, templatematching, linear complexity, random walks . . . ?Irrtumswahrscheinlichkeiten?•T0 nicht auch fürPRNG? deutscher Sonderweg?

PRNG PRNG produziert immer dieselben nZufallszahlen, die die Tests bestanden haben?

(P)TRNG Wie kann man Unabhängigkeit beweisen?

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

References[1] BSI: Anwendungshinweise und Interpretationen (zum Schema), AIS;

https://www.bsi.bund.de/DE/Themen/

ZertifizierungundAnerkennung/ZertifizierungnachCCundITSEC/

AnwendungshinweiseundInterpretationen/AIS/aiscc_node.html

[2] BSI: Evaluation of random number generators, Version 0.10, 2013https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/

Zertifizierung/Interpretationen/AIS_20_AIS_31_Evaluation_

of_random_number_generators_e.pdf?__blob=publicationFile

[3] Jean-Sebastien Coron, David Naccache: An Accurate Evaluation ofMaurers Universal Test; Proc. of SAC’98; Springer LNCS 1998,http://www.jscoron.fr/publications/universal.pdf

[4] Jean-Sebastien Coron: On the Security of Random Sources; in H.Imai, Y. Zheng, Eds.: Public-Key Cryptography; LNCS vol. 1560, pp.29-42, Springer 1999 www.jscoron.fr/publications/entropy.pdf

[5] Yevgeniy Dodis, David Pointcheval, Sylvain Ruhault, DamienVergnaud, Daniel Wichs: Security Analysis of Pseudo-RandomNumber Generators with Input: /dev/random is not Robust; ACMConference on Computer and Communication Security, CCS,November 2013 http://eprint.iacr.org/2013/338.pdf

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

References’

[6] William Feller: An Introduction to Probability Theory; Wiley 1968http://ruangbacafmipa.staff.ub.ac.id/files/2012/02/An-

Introduction-to-probability-Theory-by-William-Feller.pdf

[7] Federal Information Processing Standards, FIPS,NIST: FIPS PUB 140 Security Requirements for Cryptographic Modules,NIST: FIPS PUB 186 Specifications for the Digital Signature Standard

[8] Gopal K. Kanji: 100 Statistical Tests; SAGE Publications 2006http://fcc-statistics.wikispaces.com/file/view/100+

Statistical+Tests.pdf

[9] Charmaine Kenny: Random Number Generators – An Evaluation andComparison of Random.org and Some Commonly Used Generators;Trinity College Dublin, April 2005,http://www.random.org/analysis/Analysis2005.pdf

[10] Wolfgang Killmann, Werner Schindler: Functionality Classes andEvaluation Methodology for Random Number Generators; s. [1]AIS20_Functionality_classes_for_random_number_generators.pdf

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

References”[11] Wolfgang Killmann, Werner Schindler: Functionality Classes and

Evaluation Methodology for Random Number Generators; s. [1] 2011AIS31_Functionality_classes_for_random_number_generators.pdf

[12] Wolfgang Killmann, Werner Schindler: Functionality Classes andEvaluation Methodology for True (Physical) Random NumberGenerators; s. [1], version 3.1, 2001AIS_31_Functionality_classes_evaluation_methodology_for_true_RNG_e.pdf

[13] Ueli M. Maurer: A Universal Statistical Test for Random BitGenerators; Journal of Cryptology, vol. 5, no. 2, 1992, pp. 89-105ftp://ftp.inf.ethz.ch/pub/crypto/publications/

Maurer92a.pdf

[14] Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone:Handbook of Applied Cryptography; CRC Press, October 1996http://cacr.uwaterloo.ca/hac/

[15] Thomas Risse: How SAGE helps to implement Goppa Codes and theMcEliece Public Key Crypto System; Ubiquitous Computing andCommunication Journal, UbiCC, ISSN 1992-8424, Special Issue on5th International Conference on Information Technology (ICIT’11)www.weblearn.hs-bremen.de/risse/papers/UbiCC11

RNs – RNGs

Thomas RisseIIA, HSB, Germany

Einführung

PRNG-Kriterien

TRNG-Kriterien

Resumé

References”’

[16] Andrew Rukhin et al: A Statistical Test Suite for Random andPseudorandom Number Generators for Cryptographic Applications;National Institute of Standards and Technology, NIST April 2010http://csrc.nist.gov/publications/nistpubs/

800-22-rev1a/SP800-22rev1a.pdf

[17] William A. Stein et al.: SAGE Mathematics Software – System forAlgebraic and Geometric Experimentation; www.SAGEmath.org

[18] Werner Schindler: Functionality Classes and Evaluation Methodologyfor Deterministic Random Number Generators; BSI, version 2.0, 1999AIS_20_Functionality_Classes_Evaluation_Methodology_DRNG_e.pdf

[19] Dan Shumow, Niels Ferguson: On the Possibility of a Back Door in theNIST SP800-90 Dual EC PRNG;http://rump2007.cr.yp.to/15-shumow.pdf

[20] Eric W. Weisstein: Run; MathWorld – A Wolfram Web Resourcehttp://mathworld.wolfram.com/Run.html

[21] Eric W. Weisstein: Fibonnacci; MathWorld – A Wolfram Web Resourcemathworld.wolfram.com/Fibonaccin-StepNumber.html