مقالات منتخب از کنفرانس بین المللی Reconfig 2009 در مورد محاسبات قابل تنظیم و FPGA (Reconfig 2009)

تصادفی واقعی و شبه تصادفی در ژنراتورهای شماره تصادفی واقعی مبتنی بر اسیلاتور حلقه

، 1 Florent Bernard ، 1 Viktor Fischer ، 1 و Boyan Valtchanov 1

چکیده

این مقاله به ژنراتورهای شماره تصادفی واقعی که از حلقه های نوسان ساز استفاده می کنند ، یعنی با ارائه پیشنهاد شده توسط Sunar et al. در سال 2007 و توسط Wold و Tan در سال 2009 تقویت شد. تجزیه و تحلیل ریاضی ما نشان می دهد که هر دو معماری وقتی از همان تعداد حلقه ها و اجزای منطق ایده آل تشکیل می شوند ، به طور یکسان رفتار می کنند. با این حال ، کاهش تعداد حلقه ها ، همانطور که توسط ولد و تان پیشنهاد شده است ، به ناچار باعث از بین رفتن آنتروپی می شود. متأسفانه ، این نارسایی آنتروپی توسط شبه تصادفی ناشی از سیگنال های ساعت Xor-ing که فرکانس های مختلفی دارند ، پوشانده شده است. مدل شبیه سازی ما نشان می دهد که ژنراتور ، با استفاده از بیش از 18 حلقه بدون لرزش ایده آل که دارای فرکانس های کمی متفاوت هستند و فقط شبه تصادفی تولید می کنند ، اجازه می دهد تا آزمایشات آماری بگذرد. نتیجه می گیریم که در صورت عدم کاهش آنتروپی در پردازش ، تعداد کمتری از حلقه ها باعث کاهش امنیت می شوند. علاوه بر این ، طراح نمی تواند از این که برخی از حلقه ها همان فرکانس را داشته باشند ، جلوگیری کند و این باعث از بین رفتن آنتروپی دیگر خواهد شد. برای تأیید این موضوع ، ما نشان می دهیم که چگونه مهاجم می تواند به وضعیتی برسد که بیش از 25 ٪ از حلقه ها قفل شده و در نتیجه کاملاً وابسته باشند. این اثر می تواند عواقب فاجعه بار بر امنیت سیستم داشته باشد.

1. مقدمه

ژنراتورهای شماره تصادفی واقعی (TRNG) برای تولید کلیدهای محرمانه و سایر پارامترهای امنیتی بحرانی (CSP) در ماژول های رمزنگاری استفاده می شوند [1]. تولید با نرخ بالا و با کیفیت بالا جریان تصادفی در داخل دستگاه های منطق دشوار است زیرا این دستگاه ها برای اجرای الگوریتم های پردازش داده های قطعی در نظر گرفته شده اند در حالی که تولید تصادفی واقعی به برخی از فرایندهای غیر تعیین کننده فیزیکی نیاز دارد.

کیفیت جریان های بیت تولید شده با استفاده از تست های آماری اختصاصی مانند FIPS 140-2 [1] ، NIST 800-22 [2] و دیهارد [3] ارزیابی می شود. با این حال ، تست های آماری قادر به اثبات ریاضی نیستند که ژنراتور اعداد تصادفی واقعی را تولید می کند و نه تنها اعداد شبه تصادفی که می توانند در حملات استفاده شوند [4]. به همین دلیل ، Killmann و Schindler [5] پیشنهاد می کنند که منبع تصادفی از سیگنال باینری خام را به منظور برآورد آنتروپی در جریان بیت خروجی ژنراتور مشخص کنند.

TRNG های اجرا شده در دستگاه های قابل تنظیم معمولاً از قابلیت استفاده از متقاطع [6-8] یا ساعت ساعت [9–12] به عنوان منبع تصادفی استفاده می کنند. بسیاری از آنها از نوسان سازهای حلقه ای (ROS) به عنوان منبع یک ساعت لرزان استفاده می کنند [13-15]. یکی از اصول بیشترین استفاده در دستگاه های قابل تنظیم ، این است که توسط Sunar و همکاران پیشنهاد شده است. در [15]. این اصل بعداً در [16] مورد سوء استفاده و اصلاح قرار گرفت و در [17 ، 18] تقویت شد. منابع تصادفی و استخراج تصادفی در TRNG مبتنی بر RO در [19-21] مورد بررسی قرار گرفت.

Sunar et al. تعداد زیادی ROS را به کار بگیرید [15]. خروجی 114 ظاهراً ROS مستقل XOR-ed است و با استفاده از یک ساعت مرجع با فرکانس ثابت به منظور بدست آوردن یک سیگنال باینری خام نمونه برداری می شود. این سیگنال باینری بسته به اندازه لرزش و تعداد ROS به کار رفته با استفاده از یک تابع انعطاف پذیر پس از پردازش می شود. مزایای اصلی ژنراتور SUNAR (i) سطح امنیتی ادعا شده بر اساس اثبات امنیتی ، (ب) اجرای آسان (تقریباً "دکمه فشار") در FPGA است.

بدون اثبات امنیتی ، ژنراتور Sunar و همکاران. می تواند فقط یکی از بسیاری از trng های موجود باشد که از آزمایشات آماری عبور می کند. این رویکرد امنیتی برای ارزیابی TRNG مطابق با AIS31 [5] ضروری است که به عنوان یک استاندارد de facto در این زمینه پذیرفته شده است. متأسفانه ، اثبات امنیتی Sunar حداقل بر اساس دو فرض است که دستیابی به آن غیرممکن یا دشوار است و/یا اعتبار آن در عمل [11]: (i) دروازه XOR قرار است بی نهایت سریع باشد تا آنتروپی ایجاد شده در آن حفظ شودحلقه؛(ب) حلقه ها قرار است مستقل باشند.

Wold و Tan در [18] نشان دادند که با افزودن یک فلیپ فلاپ به خروجی هر نوسانگر (قبل از دروازه XOR)، جریان بیت خام تولید شده دارای خواص آماری بهتری خواهد بود: NIST [2] و Diehard [3]تست‌ها بدون پس‌پردازش و با کاهش قابل‌توجه تعداد نوسانگرهای حلقه انجام می‌شوند.

عموماً پذیرفته شده است که برخلاف طرح اصلی Sunar و همکاران، معماری اصلاح شده پیشنهاد شده توسط Wold و Tan، آنتروپی سیگنال باینری خام را در صورتی که تعداد حلقه‌ها بدون تغییر باشد، پس از دروازه XOR حفظ می‌کند. با این حال، ما معتقدیم که چندین سؤال دیگر نیز ارزش بررسی دارند. هدف مقاله ما یافتن پاسخ برای سؤالات زیر و بحث در مورد مشکلات مرتبط است: (i) آیا اثبات امنیتی Sunar برای مولد Wold و Tan نیز معتبر است؟(ii) آنتروپی جریان بیت تولید شده پس از کاهش تعداد حلقه ها چقدر است؟(iii) افزایش امنیت چگونه توسط فیشر و همکاران پیشنهاد شده است. در [17] کیفیت سیگنال خام باینری تولید شده را تغییر دهید؟(IV) چگونه باید رابطه بین حلقه ها را در تخمین آنتروپی در نظر گرفت؟

مقاله به شرح زیر سازماندهی شده است: بخش 2 ترکیب لرزش زمان سیگنال ساعت تولید شده در نوسانگرهای حلقه را تجزیه و تحلیل می کند. بخش 3 به شبیه سازی و پیشینه تجربی تحقیق ما می پردازد. بخش 4 رفتار دو ژنراتور را در شبیه سازی و سخت افزار مقایسه می کند. بخش 5 تأثیر اندازه و نوع جیتر را بر کیفیت جریان بیت خام مورد بحث قرار می دهد. بخش 6 وابستگی بین حلقه های داخل دستگاه و تأثیر آن بر تولید جریان بیت تصادفی را ارزیابی می کند. بخش 7 نتایج به دست آمده را مورد بحث قرار می دهد و به سوالات ارائه شده در پاراگراف قبل پاسخ می دهد. بخش 8 مقاله را به پایان می رساند.

2. نوسانگرهای حلقه و تحریک زمان

نوسانگرهای حلقه ای نوسانگرهای آزاد با استفاده از گیت های منطقی هستند. پیاده سازی آنها در دستگاه های منطقی و به عنوان مثال در آرایه های دروازه قابل برنامه ریزی میدانی (FPGA) آسان است. نوسان ساز از مجموعه ای از عناصر تاخیری تشکیل شده است که به صورت یک حلقه زنجیر شده اند. مجموعه عناصر تاخیری می تواند از عناصر معکوس و غیر معکوس تشکیل شده باشد، در حالی که تعداد عناصر معکوس باید یک عدد فرد باشد. دوره سیگنال تولید شده در RO با استفاده از اجزای ایده آل توسط فرم داده می شود