Entrada de mouse aleatoria contra entrada de teclado aleatoria vs CryptoAPI

2

Hago esta pregunta porque realmente está empezando a molestarme a mover mi mouse hasta que aparezca " generated bits : 256 " cada vez que quiero generar una contraseña en Keepass y me pregunto, ¿por qué el software me requiere para esto tedioso y Tarea completamente no aleatoria (los humanos no son aleatorios, incluso yo mismo puedo ver que tengo un patrón cuando muevo mi mouse en este pequeño cuadro cuadrado, generalmente down,up,left,right,repeat ).

Entonces, mi pregunta es: ¿Si realmente me veo obligado a usar la entrada del mouse o la entrada del teclado, cuáles son más aleatorias? Suponga que las personas serán perezosas y que habrá un patrón en la entrada del mouse y en la entrada del teclado (las personas son perezosas, no ingresarán símbolos o caracteres especiales, solo A-Z)

¿Y por qué no puede Keepass simplemente confiar en Windows CryptoAPI ? Qué tiene de malo ?

    
pregunta Freedo 22.10.2015 - 18:25
fuente

2 respuestas

2

Discusiones de RNG (generadores de números aleatorios) en proceso de ebullición: todo depende de cómo su sistema y / o software que está utilizando quiere utilizar el grupo de entropía de números aleatorios.

La mayoría de los sistemas confían en el núcleo del sistema operativo para mantener un grupo con suficiente entropía para proporcionar todas las operaciones de RNG. Si hay hardware disponible, esto usará rpm del disco, operaciones de interrupción, incluso cambios térmicos en la CPU (Haswell). En el caso de su paquete de software que desea movimientos de mouse para la generación de claves, lo más probable es que se genere su propio grupo de entropía porque no necesariamente confía en el sistema operativo.

Hay mucha discusión sobre las limitaciones de RNG en entornos virtualizados (aunque la mayoría se ha calmado con una buena investigación), pero en el caso de un software que solicita manualmente "movimientos", el movimiento provisto por un ser humano utilizando un teclado o un mouse generará suficientes datos aleatorios (no solo el movimiento sino las variables de E / S) para compensar las insuficiencias en el conjunto de entropía del SO. Lo que muestra el software no es la entropía real y, a menos que haya sido escrito por un niño de 4 años, el movimiento del mouse generará una gran cantidad de entropía de E / S para satisfacer a la mayoría de los generadores de números pseudoaleatorios que no cumplen con el cumplimiento de NIST / FIPS.

Aquí es donde TrueCrypt falló porque mientras permitían que el hardware gestionara la administración de la entropía, limitaban sus rangos de números primos, lo que permitía adivinar fácilmente los números utilizados para keygen (de lo que leí).

¿Tiene sentido?

    
respondido por el user89449 22.10.2015 - 18:44
fuente
1

Es posible que tenga patrones que parezcan predecibles, pero ¿se mueve exactamente la misma cantidad cada vez, en microsegundos? La respuesta simple es que usted es esencialmente aleatorio, en la resolución requerida por el generador que lo usará como semilla.

Las computadoras deben poder usar la función de criptografía para generar números aleatorios, pero ¿qué pasa si se ha comprometido en esa máquina ...

lo sabrías?

El uso de tus propios movimientos te protege de ese escenario.

    
respondido por el Rory Alsop 22.10.2015 - 18:38
fuente

Lea otras preguntas en las etiquetas