Рекомендация NIST SP 800-90A

использоваться напрямую или преобразовываться в случайные числа, когда случайные значения требуются приложениям, использующим криптографию.

RBG

DRBG

NRBG

Hash_DRBG

HMAC_DRBG

CTR_DRBG

S = (V, C, cnt):

HASH-DRBG основан на хеш-функции SH : {0;1}* → {0, 1}1 из семейства криптографических хеш-функций SHA. Состояние имеет вид S = (V, C, cnt), где V ∈ {0, 1}len — счетчик, который хешируется для создания конечных блоков, значение которого обновляется во время каждого вызова генератора; С — константа, зависящая от порождающего элемента (англ. seed), а cnt — счетчик повторного заполнения. Счетчик cnt указывает количество запросов псевдослучайных битов с момента получения нового значения, принятого от истинно случайного генератора во время создания экземпляра или повторного заполнения.

S = (K, V, cnt):

HMAC-DRBG использует HMAC: {0, 1}l×{0, 1}* → {0, 1}l для генерации блоков псевдослучайного вывода. Состояние имеет вид S = (K, V, cnt), где стандарт определяет K и V как критические для безопасности переменные секретного состояния. Предполагается, что после инициализации начальным состоянием является S0 = (K0, V0, cnt0), где cnt0 = 1 и K0, V0 ← {0, 1}len. Здесь K ∈ {0, 1}l используется в качестве ключа HMAC, V ∈ {0, 1}l является счетчиком, и cnt обозначает счетчик повторного заполнения.

K ∈ {0, 1}k используется в качестве ключа для блочного шифра, V ∈ {0, 1}l является счетчиком, а cnt обозначает счетчик повторного заполнения. Стандарт утверждает, что K и V являются критическими переменными состояния безопасности.

Эволюция состояния HMAC-DRBG в рамках одного вызова функции generate с начальным состоянием S = (K, V, cnt):

стало потенциальное существование бэкдора. Бэкдор — намеренно встроенный дефект алгоритма, позволяющий получить несанкционированный доступ к данным или удалённому управлению компьютером.

10000000$

подтверждающий безопасность Hash_DRBG и HMAC_DRBG цитирует попытки доказательства безопасности для Dual_EC_DRBG, высказывая, что не следует использовать CTR_DRBG, потому что это единственный генератор в NIST SP 800-90А, для которого отсутствуют доказательства безопасности.
HMAC_DRBG также имеет машинно-подтвержденное доказательство безопасности. Тезис, содержащий проверенное вычислительными методами доказательство безопасности, также доказывает, что взлом правильно реализованного экземпляра HMAC_DRBG не ставит под угрозу безопасность чисел, созданных до взлома.
Было показано, что CTR_DRBG имеет проблемы с безопасностью при использовании с определёнными параметрами, поскольку криптографы не учитывали размер блока шифра при проектировании этого генератора псевдослучайных чисел.