¿Cuáles son las fallas al generar un número aleatorio a partir de un conjunto de datos aleatorios?

Navega tus respuestas
0

Soy relativamente nuevo en el sistema de claves GPG y he estado aprendiendo sobre el sistema a través de la experimentación. Ahora sé que, al generar una semilla aleatoria para la generación de claves, el número aleatorio se toma de la entropía del núcleo ( /dev/random ) o del generador de números pseudoaleatorios (%código%). El generador pseudoaleatorio genera una semilla de aleatoriedad de 1 en 2 ^ 160 como se indica aquí mientras que / dev / random está bloqueando .

Estaba pensando si me podría generar un número aleatorio de antemano y luego ingresarlo a mi programa generador de claves. Específicamente, puedo tomar una cierta cantidad de archivos (imágenes, texto, páginas web, etc.) de cada PC en mi laboratorio y luego codificarlos / intercalarlos. Puedo cifrar los archivos por separado usando diferentes contraseñas, intercalarlos y descifrarlos usando alguna otra contraseña y así sucesivamente. ¿Son buenos estos métodos o tienen algún defecto que no es obvio?

    
pregunta Community 13.04.2012 - 20:14
fuente

2 respuestas

2

Los archivos que utilizarías (si se usaran tal como están ) no serían aleatorios, ya que los archivos de texto y las páginas web tienen una distribución no uniforme: las letras aparecerán mucho más que cualquier otra cosa .

Para evitar eso, dijiste que cifrarías, descifrarías, mezclarías, etc. tus archivos. Entonces, tendrías mucho trabajo para generar algunos valores que serán aleatorios. Bueno, ¿por qué no usar un generador de números pseudoaleatorios para generarlos? Blum Blum Shub es bueno para generar dichos números y también tiene un nombre gracioso.

Algunos otros están que figuran en la wikipedia ...

Y es mejor usar un algoritmo ya probado que intentar recrear tus números con algo que no puedes garantizar que terminará teniendo una distribución aleatoria. Digamos, ¿qué pasa si todos sus archivos son similares, o de alguna manera están sesgados a algunos valores? ¿O elige un algoritmo de cifrado que, de alguna manera, produce un resultado sesgado?

    
respondido por el woliveirajr 13.04.2012 - 20:50
fuente
1

No, tu propuesta probablemente no sea una buena idea.

Es poco probable que su procedimiento sea más seguro que /dev/urandom , y es muy probable que al menos parte del tiempo su procedimiento sea significativamente menos seguro que /dev/urandom . Al menos parte del tiempo, los archivos pueden ser predecibles. Además, su propuesta implica un esfuerzo humano, por lo que es más un dolor para el usuario. Y, si requiere que el usuario haga algunas cosas adicionales, muchos usuarios pueden intentar hacer lo menos posible, reduciendo aún más la seguridad proporcionada. En general, los humanos tienden a ser una fuente pobre de aleatoriedad . Por ejemplo, cuando le pide a los humanos que generen contraseñas, a menudo las contraseñas resultantes se pueden romper con la búsqueda del diccionario.

¿Cuál es el problema que estás tratando de resolver? No dices por qué consideras insatisfactorio el comportamiento actual de GPG. ¿Tuviste una mala experiencia con él?

    
respondido por el D.W. 14.04.2012 - 04:47
fuente

Lea otras preguntas en las etiquetas

Restaurar sesión en Firefox ¿Cómo comenzar en seguridad de la información con experiencia en ventas?