random - intel的RdRand是TRNG还是PRNG？

Question

在网上查了很久，没有找到确切的答案。我想知道英特尔 rdrand 指令生成的随机数的质量。与 IDQ's 相比如何例如卡？是真随机还是伪随机？

谢谢

Answer 1

RdRand 由 RNG 馈送，该 RNG 包含馈送的熵源和播种 AES-CTR-DRBG 的 AES-CBC-MAC 熵提取器。 DRBG 的重新播种速度约为每秒 100 万次(情况各不相同，较慢的芯片上较慢，较快的芯片上较快)。因此 DRBG 的输出是随机种子 PRNG。如果你读得很慢(低于 100 万次/秒)，你可以预期 DRBG 每次都会重新播种，因此渐近线是一个全熵 RNG。如果您的读取速度超过了 CPU 允许的速度，DRNG 硬件的最高输出为每个种子 511 DRBG 128 位。密码学预测阻力为 O(2^128)。

RdSeed 提供 NIST SP800-90C XOR 结构变体，其中每个值都包含一个新鲜种子。 TRNG 术语没有明确定义，但 RdSeed 可能接近人们认为的 TRNG 含义。它的性能低于 RdRand，因为速度是熵提取器输出速率的函数，而不是 DRBG 输出速率的函数。

因此，在询问“质量是什么”时，您需要指定最小熵或计算范围。两者在统计上与统一没有区别，但 RdRand 还保证 O(2^128) 密码学预测阻力(您需要做多少工作才能可靠地预测下一个状态)，该阻力仅适用于重新播种之间(因此在大约 1us 的时间内) ，当先前的状态被新的熵数据覆盖时。 RdSeed 提供了更强的最小熵保证，使输出接近均匀。实际效果是您可以安全地连接 RdSeed 值以生成更大的键和 IV。例如。 512 位 key 提供 O(2^512) 安全性。 RdRand 足以满足 O(2^128) 安全性的所有需求。如果您想从 RdRand 提供高于 O(2^128) 安全性的加密系统，请阅读 Intel 的 SDG，其中解释了如何使用适当的加密算法安全地做到这一点。