Рекомендация NIST SP 800-90A

Слайд 2

Содержание рекомендации

В настоящей Рекомендации определены методы генерации случайных битов, которые затем могут

Содержание рекомендации В настоящей Рекомендации определены методы генерации случайных битов, которые затем
использоваться напрямую или преобразовываться в случайные числа, когда случайные значения требуются приложениям, использующим криптографию.

RBG

DRBG

NRBG

Hash_DRBG

HMAC_DRBG

CTR_DRBG

Слайд 3

Hash_DRBG

Эволюция состояния HASH-DRBG в рамках одного вызова функции generate, с начальным состоянием

Hash_DRBG Эволюция состояния HASH-DRBG в рамках одного вызова функции generate, с начальным
S = (V, C, cnt):

HASH-DRBG основан на хеш-функции SH : {0;1}* → {0, 1}1 из семейства криптографических хеш-функций SHA. Состояние имеет вид S = (V, C, cnt), где V ∈ {0, 1}len — счетчик, который хешируется для создания конечных блоков, значение которого обновляется во время каждого вызова генератора; С — константа, зависящая от порождающего элемента (англ. seed), а cnt — счетчик повторного заполнения. Счетчик cnt указывает количество запросов псевдослучайных битов с момента получения нового значения, принятого от истинно случайного генератора во время создания экземпляра или повторного заполнения.

Слайд 4

HMAC_DRBG

Эволюция состояния HMAC-DRBG в рамках одного вызова функции generate с начальным состоянием

HMAC_DRBG Эволюция состояния HMAC-DRBG в рамках одного вызова функции generate с начальным
S = (K, V, cnt):

HMAC-DRBG использует HMAC: {0, 1}l×{0, 1}* → {0, 1}l для генерации блоков псевдослучайного вывода. Состояние имеет вид S = (K, V, cnt), где стандарт определяет K и V как критические для безопасности переменные секретного состояния. Предполагается, что после инициализации начальным состоянием является S0 = (K0, V0, cnt0), где cnt0 = 1 и K0, V0 ← {0, 1}len. Здесь K ∈ {0, 1}l используется в качестве ключа HMAC, V ∈ {0, 1}l является счетчиком, и cnt обозначает счетчик повторного заполнения.

Слайд 5




CTR_DRBG

Состояние имеет вид S = (K, V, cnt), где

CTR_DRBG Состояние имеет вид S = (K, V, cnt), где K ∈
K ∈ {0, 1}k используется в качестве ключа для блочного шифра, V ∈ {0, 1}l является счетчиком, а cnt обозначает счетчик повторного заполнения. Стандарт утверждает, что K и V являются критическими переменными состояния безопасности.

Эволюция состояния HMAC-DRBG в рамках одного вызова функции generate с начальным состоянием S = (K, V, cnt):

Слайд 6

Dual_EC_DRBG

Dual_EC_DRBG была изъята из публикации с выпуском первой редакции документа. Причиной этому

Dual_EC_DRBG Dual_EC_DRBG была изъята из публикации с выпуском первой редакции документа. Причиной
стало потенциальное существование бэкдора. Бэкдор — намеренно встроенный дефект алгоритма, позволяющий получить несанкционированный доступ к данным или удалённому управлению компьютером.

10000000$

Слайд 7

Анализ безопасности

Hash_DRBG и HMAC_DRBG имеют доказательства безопасности для генерации псевдослучайных последовательностей. Документ,

Анализ безопасности Hash_DRBG и HMAC_DRBG имеют доказательства безопасности для генерации псевдослучайных последовательностей.
подтверждающий безопасность Hash_DRBG и HMAC_DRBG цитирует попытки доказательства безопасности для Dual_EC_DRBG, высказывая, что не следует использовать CTR_DRBG, потому что это единственный генератор в NIST SP 800-90А, для которого отсутствуют доказательства безопасности.
HMAC_DRBG также имеет машинно-подтвержденное доказательство безопасности. Тезис, содержащий проверенное вычислительными методами доказательство безопасности, также доказывает, что взлом правильно реализованного экземпляра HMAC_DRBG не ставит под угрозу безопасность чисел, созданных до взлома.
Было показано, что CTR_DRBG имеет проблемы с безопасностью при использовании с определёнными параметрами, поскольку криптографы не учитывали размер блока шифра при проектировании этого генератора псевдослучайных чисел.
Имя файла: Рекомендация-NIST-SP-800-90A.pptx
Количество просмотров: 29
Количество скачиваний: 0