Cómo protegerse contra ataques generadores de números aleatorios

Navega tus respuestas
1

Estoy usando hardware personalizado en el que estoy usando el ruido aleatorio de un convertidor ADC y algunas otras semillas. Combino esto en un algoritmo y lo he probado con FIPS PUB 140-2 para un generador de números aleatorios. Ha pasado la prueba, pero estoy leyendo sobre los ataques RNG y no entiendo completamente estos ataques.

Si la gente se metiera con mis semillas, ¿hay algo que pudiera hacer en contra? el hardware se encuentra en un entorno inseguro, por lo que si un ataque tuviera la molestia de abrirlo, encontrar las fuentes, etc., no hay nada que pueda hacer en su contra, ¿no?

¿Hay algo que pueda hacer para que su RNG sea seguro además de elegir varias semillas?

    
pregunta Vincent 04.03.2015 - 13:09
fuente

1 respuesta

1

Comencemos con el descargo de responsabilidad: no soy criptógrafo, crear tu propio RNG suele ser una mala idea, bla, bla. Dicho esto tengo una idea:

Intente medir la entropía del RNG:

enlace

Cuando baja demasiado debido a un atacante (o rayos cósmicos), dejas de proporcionar números aleatorios hasta que la entropía alcance niveles aceptables.

¿Cuánta entropía? Depende del tamaño de tu llave. Una clave de 256 bits con 20 bits de entropía no es más segura que una clave de 20 bits, por lo que sugeriría una entropía objetivo igual al tamaño de clave más grande con el que trabajará.

El hardware que se encuentra en un entorno inseguro no es un problema solucionable a mis ojos. Aparte de los ataques esotéricos de RNG, el enfoque más directo sería obtener el control del dispositivo y poner en peligro el cifrado desde allí.

    
respondido por el Antonius Bloch 04.03.2015 - 18:51
fuente

Lea otras preguntas en las etiquetas

El mismo par de claves RSA para todos los usuarios Usa la hidra THC para realizar un ataque de diccionario en localhost