Новые тесты на случайность составят основу цифровой безопасности

Защита онлайнового трафика – коммуникаций, торговых и банковских транзакций – напрямую зависит от надёжности методом генерирования случайных чисел, используемых в качестве криптографических ключей. Однако, допущенные при их программировании небольшие неточности могут сделать такие системы уязвимыми. Такие (случайные или намеренные) ошибки, как правило, очень сложно обнаруживать.

Генераторы случайных чисел (Deterministic Random Bit Generator, DRBG) обычно проверяют, анализируя данные на выходе, однако группа исследователей из Принстонского университета утверждает, что такие методы, не имеющие доступа к исходному коду ПО, не могут дать гарантию того, что генератор функционирует должным образом.

DRBG на самом деле генерируют так называемые псевдослучайные числа, т.е. длинные последовательности цифр, которые лишь выглядят случайными для потенциального взломщика в том смысле, что он не может предсказать результат работы программы-генератора.

На ноябрьской конференции ACM по безопасности компьютеров и коммуникаций принстонские учёные вместе с коллегами из университета Джона Хопкинса и компании Oracle представили результаты комплексного машинного тестирования популярного генератора HMAC-DRBG, которые гарантированно доказывают его надёжность – то, что выдаваемые им числа достаточно трудно отличить от случайных.

Профессор Юджин Спаффорд (Eugene Spafford) из университета Пердью заявил, что предоставленное авторами математическое обоснование этого доказательства обеспечивает «очень высокий уровень достоверности» безопасности генератора псевдослучайных чисел.

Было также показано, что разработанные ими тесты безопасности возможно использовать для проверки надёжности и других генераторов псевдослучайных чисел для ответственных приложений. Они сообщили, что Национальный институт стандартов и технологии (NIST) сертифицировал три DRBG для использования правительством США.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365