个人中心
gpt4 book ai didi

random - 英特尔的 RDRAND 是否有任何合法用途?

转载 作者:行者123 更新时间:2023-12-02 22:25:57 26 4
gpt4 key购买 nike

今天我想:好吧,即使对 NIST SP 800-90A 的 RDRAND 实现存在很大怀疑。 ,它仍然是伪随机数生成器(PRNG)的硬件实现,对于非敏感应用程序来说必须足够好。所以我想在我的游戏中使用它而不是 Mersenne Twister。

因此,为了查看使用该指令是否有任何性能提升,我比较了以下两个代码的时间:

// test.cpp
#include <cstdio>

int main()
{
    unsigned int rnd = 0;
    for(int i = 0; i < 10000000; ++i) {
        __builtin_ia32_rdrand32_step(&rnd);
    }
    printf("%x\n", rnd);
}

//test2.cpp
#include <cstdio>
#include <random>

int main()
{
    unsigned int rnd = 0;
    __builtin_ia32_rdrand32_step(&rnd);
    std::mt19937 gen(rnd);
    for(int i = 0; i < 10000000; ++i) {
        rnd ^= gen();
    }
    printf("%x\n", rnd);
}

通过运行这两个我得到:

$ time ./test
d230449a

real    0m0.361s
user    0m0.358s
sys     0m0.002s

$ time ./test2 
bfc4e472

real    0m0.051s
user    0m0.050s
sys     0m0.002s

因此,在我的 CPU 上,Mersenne Twister 比 RDRAND 快得多。好吧,我很失望,被排除在比赛之外。但 RDRAND 是一种加密安全的 PRNG (CSPRNG),因此它在幕后做了很多工作……更公平的是将其与其他 CSPRNG 进行比较。所以我拿了我的Rabbit实现(将 RFC 简单翻译为 C,没有花哨的性能技巧),并编写了以下测试:

// test3.cpp
#include <cstdio>

extern "C"
{
#include "rabbit.h"
}

int main()
{
    rabbit_state s;
    unsigned long long buf[2];
    __builtin_ia32_rdrand64_step(&buf[0]);
    __builtin_ia32_rdrand64_step(&buf[1]);
    rabbit_init_key(&s, (uint8_t*)&buf[0]);

    for(int i = 0; i < 10000000; ++i) {
        rabbit_extract(&s, (uint8_t*)&buf[0]);
    }
    printf("%llx\n", buf[0]);
}

令我惊讶的是,生成的伪随机数据是前两个数据的两倍,我比 RDRAND 获得了更好的时间:

$ time ./test3 
8ef9772277b70aba

real    0m0.344s
user    0m0.341s
sys     0m0.002s

所有三个都是在启用优化的情况下编译的。

因此,我们普遍怀疑 RDRAND 是为了将 NSA 后门嵌入到每个人的软件加密中。此外,我们至少有一款比 RDRAND 更快的软件 CSPRNG,并且使用最广泛的体面 PRNG,Mersenne Twister,比 RDRAND 快很多。最后,我们有开源的可审计软件熵池,例如 /dev/random/dev/urandom,它们不会隐藏在 AES 的双重扰码器层后面,例如 RDRAND .

那么,问题是:人们应该使用 RDRAND 吗?它有任何合法用途吗?或者我们应该完全停止使用它?

最佳答案

正如所指出的in the other answer , RDRAND 具有真正的随机性。特别是,它经常使用 128 位硬件生成的随机性对其内部 CSPRNG 重新播种,保证每 511 * 128 位至少重新播种一次。请参阅本文档第 4.2.5 节:

https://software.intel.com/en-us/articles/intel-digital-random-number-generator-drng-software-implementation-guide

因此,在您的示例中,您使用单个 128 位种子从rabbit_extract 生成 1000 万次随机抽取。在 RDRAND 版本中,相当于 250 万次 128 位抽签,这意味着 CSPRING 至少重新播种了 2,500,000/511 = 4,892 次

因此,RDRAND 示例中至少有 4,892*128 = 626,176 位熵,而不是您的兔子示例中的 128 位熵。

这比没有硬件支持的情况下 0.361 秒内获得的熵要多得多。如果你正在做的事情需要很多真正的随机性,那么这可能很重要。一个例子是 Shamir secret 共享大量数据 - 不确定是否还有其他例子。

所以总而言之——这不是为了速度,而是为了高安全性。当然,它是否有后门的问题很麻烦,但你总是可以将它与其他来源进行异或,至少它不会伤害你。

关于random - 英特尔的 RDRAND 是否有任何合法用途?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26771329/

26 4 0
文章推荐: SQL - 根据最近的职位更新员工头衔
文章推荐: debugging - Codelite 调试器错误 : Failed to locate gdb! 位于 'gdb' ?
文章推荐: sql - DENSE_RANK() 无重复
文章推荐: sql - '(' 附近的语法不正确。期待身份证件
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com