[发明专利]密码学上安全的伪随机数字发生器

说明书

                            背景

在35U.S.C.§119下的优先权要求

本专利申请要求2005年8月24日提交且被转让给本发明受让人并因而被 明确援引纳入于此的题为“Cryptographically Secure Pseudo-Random Number Generator(密码学上安全的伪随机数字发生器)”的临时申请No.60/711,148 的优先权。

领域

本发明涉及密码学，尤其涉及在电子设备中伪随机数的安全生成。

背景

随机数生成有许多应用，举例而言包括密码学用途(例如，用于加密和完 好性保护的密钥、用于安全性协议的一次性数、等等)。真随机数是不可能以 高于平均的概率来预测的。在现实世界中，要获得理想的随机数源是极难的。

诸如来自电路组件的热噪声等的物理源有时产生非常良好的随机输出。但 是，物理源曝露于外界干扰之下，这会使得输出显著有偏。此外，物理源在其 能多快地提供新熵(随机性)的方面受限。许多应用承受不起等待很长时间才 得到随机数。另外，依赖于硬件的发生器有时在拖延过长的一段时间之后会发 生故障并在此类情形中产生非常糟糕的随机数。

使用确定性算法来生成伪随机数的伪随机数字发生器(PRNG)常被采用。 PRNG可在非常快的速度下产生数字。给定了称为种子的随机输入，就能确定 性地生成非常长的一序列伪随机数。不具备此种子的知识，要将此发生器与随 机源区分开来是不可行或非常困难的。尽管有许多PRNG可用，但是大多数不 是针对安全性应用设计的。因为PRNG使用确定性算法，所以它们曝露于入侵 之下，由此削弱了PRNG的安全性。例如，线性同余发生器被广泛用作PRNG， 但是在很短一序列的输出被分析出来之后就能被破解。

密码学应用通常使用“随机”数作为初始化矢量、密钥、一次性数(nonce)、 盐值(salt)等。一般而言，密码学上安全的PRGN(CSPRNG)是以安全方式 用不可预测的输入来播种的，因而要将其输出与一序列随机比特区分开来是不 可行的。如本文中定义的，CSPRNG具有正常PRGN的所有性质，并且另外 还有至少两个其他性质。这些性质当中称为“下一比特测试”的一个性质陈述给 定从一发生器生成的一序列m个比特，没有任何可行的方法能用显著高于1/2 的概率来预测第(m+1)比特。称为“抗恶意播种”的第二个性质表明即便某一攻 击能获得一段时间上对CSPRNG的输入的完全或部分控制，要预测或再现来 自CSPRNG的任何随机输出仍然是不可行的。

伪随机数生成方案在CSPRNG中是相对简单直接的。举例而言，其可以 是在计数器模式或输出反馈模式下运行的分块密码、是用种子作为密码密钥的 流密码、或是散列的嵌套结构。CSPRNG设计中错综复杂的部分是如何播种以 及重新播种CSPRNG。重新播种是用于以新种子来更新先前已被播种过的 CSPRNG的顺序逻辑的过程。此类重新播种使得要破解确定性伪随机数生成算 法更为困难。

现存在数种标准化的CSPRNG设计，诸如FIPS 186-2、ANSI X9.17-1985 附录C、ANSI X9.31-1998附录A.2.4、以及ANSI X9.62-1998附件A.4。遗憾 的是，这些设计当中有许多在某些情状下并不令人满意。例如，ANSI X9.17 PRNG的两个设计缺陷已被J.Kelsey等在刊于1998年Springer-Verlag出版社 的第五届国际学术研讨会学报中的“Fast Software Encryption(快速软件加密)” 中标识出来。

Yarrow和Fortuna是两种公知的CSPRNG设计。(参见J.Kelsey、B. Schneier、和N.Ferguson著刊于1999年8月Springer Verlag出版社的密码学 领域选集第六年度学术研讨会的“Yarrow-160：Notes on the Design and Analysis of the Yarrow Cryptographic Pseudorandom Number Generator(Yarrow-160： Yarrow密码学伪随机数字发生器设计与分析笔记)”、以及N.Ferguson和B. Schneier著2003年由Wiley出版社出版的“Practical Cryptography(实用密码 学)”。)