Tiêu chuẩn quốc gia TCVN 12853:2020 về Công nghệ thông tin - Các kỹ thuật an toàn - Bộ tạo bit ngẫu nhiên

5  Đặc điểm và yêu cầu đối với bộ tạo bit ngẫu nhiên

5.1  Đặc điểm của bộ tạo bit ngẫu nhiên

Các tính chất ngẫu nhiên có thể được mô phỏng bằng cách tung một đồng xu lên không khí và quan sát mặt hướng lên trên khi nó rơi xuống đất, trong đó một mặt được gọi là “mặt ngửa” (H) và mặt còn lại được gọi là “mặt sấp” (T). Đồng xu cũng có gờ, tuy nhiên xác suất để gờ đồng xu chạm đất hiếm khi xảy ra nên có thể bỏ qua trường hợp này.

Tung đồng xu nhiều lần tạo ra một chuỗi có thứ tự kết quả của việc tung đồng xu ký hiệu là một chuỗi H và T. Ví dụ: chuỗi “HTTHT” (đọc từ trái sang phải) nghĩa là mặt ngửa rồi đến mặt sấp, tiếp theo là mặt sấp, mặt ngửa rồi đến mặt sấp. Chuỗi kết quả tung đồng xu này có thể chuyển đổi thành một chuỗi nhị phân bằng cách gán H bằng số một nhị phân (‘1’) và T bằng số không nhị phân (‘0’); chuỗi nhị phân kết quả là ‘10010’.

Các tính chất yêu cầu của tính ngẫu nhiên có thể được kiểm tra bằng cách sử dụng ví dụ tung đồng xu được mô tả ở trên. Kết quả của mỗi lần tung đồng xu là:

1. Không thể đoán trước được: Trước khi tung, không thể biết được đồng xu rơi xuống đất bằng mặt ngửa hay mặt sấp. Ngoài ra, nếu kết quả tung được giữ bí mật, thì không thể xác định được kết quả tung đồng xu là gì nếu biết một kết quả tung đồng xu sau đó bất kỳ. Tính không thể đoán trước được phụ thuộc vào việc người quan sát có thể quan sát được kết quả của việc tung đồng xu hay không. Khái niệm độ bất định định lượng số lượng kết quả không thể đoán trước được hoặc không chắc chắn liên quan đến người quan sát và sẽ được thảo luận kỹ hơn ở phần sau của tiêu chuẩn này.

2. Không chệch: mỗi kết quả thu được có cùng khả năng xảy ra;

3. Độc lập: quá trình tung đồng xu được cho là quá trình không nhớ; bất cứ điều gì xảy ra trước khi tung đồng xu hiện tại không ảnh hưởng đến nó.

Vì vậy, chuỗi kết quả của việc tung đồng xu có thể trực tiếp áp dụng cho một bộ tạo bit ngẫu nhiên. Các bộ tạo bit ngẫu nhiên được quy định trong tiêu chuẩn này mô phỏng chuỗi kết quả của việc tung đồng xu lý tưởng.

...

...

...

Quyết định kết hợp tính an toàn về phía trước với an toàn về phía sau phụ thuộc vào yêu cầu của ứng dụng.

Các yếu tố sau đây cần được xem xét khi quyết định kết hợp tính an toàn về phía trước với an toàn về phía sau:

1. Trong một số trường hợp, việc đạt được tính an toàn về phía sau quan trọng hơn việc đạt được tính bí mật về phía trước. Ví dụ: nếu một hệ mật bị lộ, kẻ tấn công có thể đọc được các thông điệp cũ được xử lý bằng hệ mật đó. Tính an toàn về phía trước không được quan tâm vì hệ mật không còn được sử dụng bởi người sở hữu đầu. Việc đạt được tính an toàn về phía sau là đơn giản (ví dụ: bằng cách sử dụng hàm một chiều trong thiết kế) mặc dù có thể ảnh hưởng đến hiệu suất do thực hiện tính chất này và phụ thuộc vào thiết kế.

2. Việc đạt được tính an toàn về phía trước có thể không thích hợp đối với một số hệ mật. Ví dụ: thẻ thông minh được khởi tạo tại nơi sản xuất với giá trị mầm có độ bất định đầy đủ và sẽ hết hạn sau một khoảng thời gian nhất định (ví dụ: hai hoặc ba năm). Trong trường hợp này, có thể dễ dàng thay thế thẻ cũ bằng một thẻ mới có giá trị mầm khác thay cho việc phải đảm bảo tính an toàn về phía trước trong thiết kế bộ tạo bit ngẫu nhiên.

3. Trong một số trường hợp, việc đạt được tính an toàn về phía trước có thể quan trọng hơn việc đạt được tính an toàn về phía sau. Ví dụ: việc tạo giá trị nonce an toàn. Thuật toán tạo bit ngẫu nhiên không cần đảm bảo tính an toàn về phía sau vì tất cả các giá trị đầu ra trước đó sẽ được biết đến. Tuy nhiên, tính an toàn về phía trước cần phải đảm bảo để ngăn chặn kẻ tấn công với những thông tin đã biết về bộ tạo có thể dự đoán được các giá trị đầu ra sau này.

5.2  Yêu cầu đối với bộ tạo bit ngẫu nhiên

Các yêu cầu sau đây được áp dụng cho tất cả các bộ tạo bit ngẫu nhiên cả tất định và bất định.

Đây là các yêu cầu cơ bản nhằm đảm bảo an toàn cho các cơ chế mật mã yêu cầu đầu vào ngẫu nhiên.

Ngưỡng giữa tính khả thi và không khả thi sẽ được xác định theo yêu cầu chung đối với mức an toàn mật mã tối thiểu chấp nhận được của ứng dụng.

...

...

...

2. Cho trước một chuỗi các bit đầu ra, không thể tính toán hoặc dự đoán bất kỳ bit đầu ra nào đã xuất hiện hoặc sẽ xuất hiện.

3. Trong suốt thời gian có hiệu lực của bộ tạo bit ngẫu nhiên, không thể dự đoán sự lặp lại của chuỗi đầu ra.

4. Bộ tạo bit ngẫu nhiên sẽ không làm rò rỉ thông tin bí mật (ví dụ: trạng thái bên trong của một bộ tạo bit ngẫu nhiên) thông qua đầu ra của nó.

5. Bộ tạo bit ngẫu nhiên sẽ không làm rò rỉ thông tin bí mật cho kẻ tấn công.

CHÚ THÍCH 1 Tấn công thời gian là một ví dụ cho việc không thỏa mãn yêu cầu 5.

6. Bộ tạo bit ngẫu nhiên sẽ không tạo ra các bit nếu bộ tạo không được đánh giá là có độ bất định đầy đủ. Tiêu chuẩn về tính đầy đủ của độ bất định quan trọng hơn các yêu cầu của tiêu chuẩn này và yêu cầu của ứng dụng.

7. Khi phát hiện có lỗi, bộ tạo bit ngẫu nhiên phải (a) chuyển sang trạng thái lỗi vĩnh viễn hoặc (b) có thể khôi phục từ một độ bất định tổn thất hoặc thỏa hiệp nếu trạng thái lỗi vĩnh viễn không được chấp nhận trong các yêu cầu của ứng dụng. Các yêu cầu này được thỏa mãn trong thiết kế của bộ tạo.

CHÚ THÍCH 2 Xem mục 8.8 và 9.8 để có thông tin khi bị lỗi và các phép kiểm thử của bộ tạo bit ngẫu nhiên tất định và bất định.

8. Thiết kế và thực thi một bộ tạo bit ngẫu nhiên phải có một ranh giới bảo vệ xác định. Ranh giới bảo vệ được quy định trong TCVN 11295 (ISO/IEC 19790) (xem phụ lục I).

...

...

...

10. Thiết kế của bộ tạo bit ngẫu nhiên phải bao gồm các phương pháp để ngăn chặn ảnh hưởng, thao tác có thể dự đoán được hoặc dự đoán đầu ra của bộ tạo bằng cách quan sát các đặc tính vật lý của nó (ví dụ: mức tiêu hao năng lượng, thời gian hoặc sự phát xạ).

11. Quá trình thực thi phải được thiết kế cho phép xác nhận tính hợp lệ, bao gồm những khẳng định thiết kế cụ thể về việc bộ tạo không thực hiện. Việc kiểm tra tính hợp lệ của một bộ tạo bit bất định có nghĩa là xem xét bộ tạo có hoạt động như mong đợi hay không, không chỉ trong điều kiện hoạt động bình thường mà còn ở các ranh giới của điều kiện hoạt động dự kiến. Các đoạn mã liên quan đến an toàn trong mã nguồn giúp điều chỉnh hành vi trong điều kiện đặc biệt (ví dụ: khởi tạo, kiểm thử không đạt,...) phải được xác nhận bằng cách thử tất cả các điều kiện lỗi xảy ra trong quá trình kiểm tra.

12. Phải có căn cứ thiết kế (lý thuyết, thực nghiệm hoặc cả hai) để hỗ trợ tất cả các yêu cầu an toàn cho bộ tạo bit ngẫu nhiên bao gồm việc bảo vệ trước các hành vi sai.

5.3  Yêu cầu tùy chọn đối với bộ tạo bit ngẫu nhiên

Các yêu cầu tùy chọn cho một bộ tạo bit ngẫu nhiên như sau:

1. Nếu bộ tạo bit ngẫu nhiên có khả năng hoạt động ở nhiều chế độ, thì nó phải trả về thông tin của chế độ đang hoạt động theo yêu cầu.

2. Ứng dụng có thể yêu cầu bộ tạo bit ngẫu nhiên chạy ở chế độ kiểm thử, ví dụ: khi sử dụng giá trị mầm không bí mật, do đó có khả năng tái tạo lại các bit mà nó sinh ra. Khi một bộ tạo bit ngẫu nhiên chạy ở chế độ kiểm thử, nó không được sử dụng để tạo ra các bit bí mật. Khi sử dụng một giá trị mầm bí mật, bộ tạo sẽ không hoạt động ở chế độ kiểm thử.

3. Được coi như một hộp trắng, bộ tạo bit ngẫu nhiên phải đảm bảo tính an toàn về phía sau. Nếu thuộc tính này được hỗ trợ thì nghĩa là cho trước tất cả các thông tin có thể tiếp cận được về bộ tạo bit ngẫu nhiên (bao gồm một số tập hợp các giá trị đầu vào, thuật toán và đầu ra), không thể tính toán hoặc dự đoán (tính theo độ an toàn quy định) bất kỳ bit đầu ra nào trước đó.

4. Được coi như một hộp trắng, bộ tạo bit ngẫu nhiên phải đảm bảo tính an toàn về phía trước. Nếu hỗ trợ, thì nghĩa là cho trước tất cả các thông tin có thể tiếp cận được về bộ tạo bit ngẫu nhiên (bao gồm một số tập hợp các giá trị đầu vào, thuật toán và đầu ra), không thể tính toán hoặc dự đoán (tính theo độ an toàn quy định) bất kỳ bit đầu ra sắp tới nào tính từ thời điểm yêu cầu tính an toàn về phía trước.

...

...

...

6.1  Mô hình chức năng, khái niệm để tạo bit ngẫu nhiên

Hình 1 mô tả mô hình chức năng, khái niệm cho quá trình tạo bit ngẫu nhiên. Mô hình này và các yêu cầu liên quan cũng như mục tiêu mà bộ tạo bit ngẫu nhiên phải đạt được không có ràng buộc hay bắt buộc thực hiện cho dù là bộ tạo ngẫu nhiên bất định hay tất định. Vì không phải tất cả các khía cạnh quan trọng của việc tạo bit ngẫu nhiên có thể xác định theo thuật toán, do đó quan điểm chức năng của việc tạo bit ngẫu nhiên là trung tâm của định nghĩa về các bộ tạo bit ngẫu nhiên trong tiêu chuẩn này.

Mô hình chức năng bao gồm mọi thứ cần thiết để tạo các bit ngẫu nhiên. Cách tiếp cận toàn diện này là cần thiết để đảm bảo rằng đầu ra của bộ tạo bit ngẫu nhiên là ngẫu nhiên như mong muốn.

Khi một bộ tạo bit ngẫu nhiên hoặc một thành phần của hệ thống không hết hợp trực tiếp tất cả các thành phần chức năng hoặc giải quyết tất cả các yêu cầu chức năng được quy định ở đây, thì bộ tạo bit ngẫu nhiên đó có thể vẫn phù hợp với tiêu chuẩn này nếu thành phần của nó được sử dụng trong một hệ thống cung cấp các yếu tố còn thiếu và đáp ứng các yêu cầu còn lại. Một bộ tạo bit ngẫu nhiên như vậy sẽ có các yêu cầu chức năng bổ sung. Những yêu cầu đó trở thành một điều kiện tiên quyết cho việc sử dụng bộ tạo bit ngẫu nhiên.

CHÚ THÍCH Có những bộ tạo bit ngẫu nhiên không kết hợp tất cả các thành phần chức năng như được mô tả trong hình 1. Ví dụ: Các bộ tạo bit ngẫu nhiên bất định vật lý không nhất thiết cần thêm đầu vào bổ sung.

6.2  Các thành phần cơ bản của bộ tạo bit ngẫu nhiên

6.2.1  Giới thiệu về các thành phần cơ bản của bộ tạo bit ngẫu nhiên

Mô hình được mô tả trong hình 1 có 6 thành phần cơ bản, tuy nhiên đây là trường hợp đáp ứng tất cả các yêu cầu chức năng mà không cần kết hợp tất cả các thành phần cơ bản. Đó là:

a) Nguồn bất định;

...

...

...

c) Trạng thái bên trong;

d) Hàm chuyển đổi trạng thái bên trong;

e) Hàm tạo đầu ra; và

f) Các hàm hỗ trợ.

Hình 1: Mô hình chức năng của bộ tạo bit ngẫu nhiên

6.2.2  Nguồn bất định

6.2.2.1  Giới thiệu về nguồn bất định

Nguồn bất định là nguồn các bit không thể dự đoán trước được. Các bit này có thể bị lệch và phụ thuộc vào nhau ở một mức độ nào đó; trên thực tế điều này thường xảy ra. Đối với bộ tạo bit ngẫu nhiên tất định, nguồn bất định có thể là một bộ tạo bit ngẫu nhiên bất định riêng biệt, từ xa. Tuy nhiên, đối với một bộ tạo bit ngẫu nhiên bất định, thành phần nguồn bất định là kết hợp của sự tồn tại của hoạt động tạo ra độ bất định, sự phát hiện của hoạt động này và cơ chế số hóa.

...

...

...

Mô hình cho phép nguồn bất định bị phá hủy theo những cách khác nhau. Một cách đó là phá hủy đệ quy. Đặc biệt, nguồn bất định cho một bộ tạo bit ngẫu nhiên có thể là một bộ tạo bit ngẫu nhiên (bên ngoài) riêng biệt khác. Thật vậy, bộ tạo bit ngẫu nhiên ngoài có thể sử dụng một bộ tạo bit ngẫu nhiên khác như một nguồn bất định. Không có giới hạn nào cho việc xây dựng đệ quy, tuy nhiên quá trình đệ quy như vậy phải kết thúc bằng một nguồn bất định (không xác định) thật sự, nếu không toàn bộ cấu trúc bị hủy bỏ. Ngoài ra, việc xây dựng phải đảm bảo độ bất định của hệ thống đầy đủ để hỗ trợ các tiêu chí đầu vào cho từng bộ tạo bit ngẫu nhiên riêng biệt.

6.2.2.2  Các yêu cầu đối với nguồn bất định

Các yêu cầu đối với nguồn bất định của một bộ tạo bit ngẫu nhiên như sau:

1. Nguồn bất định phải dựa vào các nguyên tắc được thiết lập tốt hoặc các hành vi đặc trưng phổ biến.

2. Tỷ lệ độ bất định phải được đánh giá hoặc phải tự điều chỉnh quá trình thu thập sao cho lượng độ bất định trên một đơn vị hoặc sự kiện thu thập phải đạt được hoặc vượt quá giới hạn dưới được thiết kế.

3. Nguồn bất định phải được thiết kế sao cho bất cứ thao tác nào (như khả năng kiểm soát nguồn bất định), ảnh hưởng (như khả năng tạo độ chệch cho nguồn bất định) hoặc quá trình quan sát bởi một số thực thể bên ngoài trái phép phải được giảm thiểu tối đa theo các yêu cầu của ứng dụng.

4. Phải phát hiện được việc mất mát hoặc suy giảm nghiêm trọng nguồn bất định.

6.2.3  Đầu vào bổ sung

6.2.3.1  Giới thiệu về đầu vào bổ sung

...

...

...

6.2.3.2  Các yêu cầu đối với đầu vào bổ sung

Hình thức và việc sử dụng đầu vào bổ sung phải không làm giảm độ bất định của bộ tạo bit ngẫu nhiên.

6.2.4  Trạng thái bên trong

6.2.4.1  Giới thiệu về trạng thái bên trong

Trạng thái bên trong chứa bộ nhớ của bộ tạo bit ngẫu nhiên. Có thể bao gồm mầm, bộ đếm, giá trị xung, đầu vào người dùng, độ an toàn của đầu ra... Trạng thái bên trong bao gồm tất cả các tham số, biến và các giá trị lưu trữ khác được phần tất định của bộ tạo bit ngẫu nhiên sử dụng hoặc hoạt động. Trạng thái bên trong thường chứa trong đặc tả về các hàm tất định; mô hình làm cho trạng thái trở nên rõ ràng để giải quyết tốt hơn vấn đề an toàn mà nó có thể ảnh hưởng.

Về mặt chức năng, trạng thái bên trong đóng hai vai trò khác nhau. Đầu tiên là để đảm bảo rằng đầu ra xuất hiện ngẫu nhiên ngay cả khi độ bất định của đầu vào không đủ để tạo ra một chuỗi với độ dài nhất định thực sự là ngẫu nhiên. Vì hàm chuyển đổi trạng thái bên trong và hàm tạo đầu ra là các hàm tất định và do các hàm tất định có tính chất là cho cùng một giá trị đầu ra với cùng một giá trị đầu vào, nên cần phải có một biến trạng thái được xây dựng để thay đổi từng khối đầu ra của bộ tạo bit ngẫu nhiên. Mục đích của biến này là đảm bảo rằng đầu ra xuất hiện ngẫu nhiên ngay cả khi không có hoặc có ít độ bất định thực sự được thêm vào hệ thống.

Điều này đặc biệt phù hợp với một bộ tạo bit ngẫu nhiên tất định. Đối với bộ tạo bit ngẫu nhiên tất định, nếu mầm hoặc tham số bí mật không được cập nhật bởi một thiết bị bên ngoài, thì có thể tạo ra một chuỗi lặp lại của trạng thái bên trong. Vì vậy, mầm (hoặc tham số bí mật) phải được cập nhất định kỳ hoặc thiết bị phải không hoạt động được sau một khoảng thời gian xác định trước.

Phần trạng thái bên trong hỗ trợ chức năng này được gọi là trạng thái làm việc. Phải đảm bảo rằng giá trị của trạng thái làm việc không bị ảnh hưởng bởi bất kỳ sự kiện bên ngoài nào (ví dụ: bằng cách khởi động lại bộ tạo bit ngẫu nhiên).

Vai trò thứ hai của trạng thái bên trong là tham số hóa các hàm chuyển đổi trạng thái bên trong tất định và/hoặc hàm tạo đầu ra mà không biết đến tham số này, hàm tất định thể hiện các thuộc tính cần thiết của nó. Ví dụ, nó có thể tham số hóa hàm tạo đầu ra theo cách không thể suy ra trạng thái bên trong từ đầu ra khi không biết tham số bí mật. Tham số bí mật (đôi khi được gọi là khóa của bộ tạo bit ngẫu nhiên) thường là một hoặc nhiều khóa mật mã và được tạo ra một cách ngẫu nhiên. Khi tồn tại một tham số bí mật như vậy, nó sẽ có thời hạn an toàn được xác định rõ ràng bao gồm các quy định về việc tạo, phân phối, cập nhật và hủy.

...

...

...

CHÚ THÍCH 2 Vấn đề quản lý khóa được quy định trong ISO/IEC 11770-1 [6].

6.2.4.2  Các yêu cầu đối với trạng thái bên trong

Các yêu cầu đối với trạng thái bên trong của một bộ tạo bit ngẫu nhiên như sau:

1. Trạng thái bên trong phải được bảo vệ phù hợp với việc sử dụng và độ nhạy của đầu ra.

2. Trạng thái bên trong phải duy trì chức năng một cách hợp lý khi có sự cố về nguồn điện, khởi động lại... hoặc quay về một điều kiện an toàn trước khi tạo ra đầu ra (nghĩa là phải đảm bảo tính toàn vẹn của trạng thái bên trong hoặc phải khởi tạo lại trạng thái bên trong).

3. Các thành phần trạng thái tích lũy hoặc mang độ bất định cho bộ tạo bit ngẫu nhiên phải có ít nhất x bit độ bất định trong đó x là độ dài tính bằng bit của độ an toàn mong muốn. Thành phần trạng thái phải tích lũy nhiều hơn số bit tối thiểu của độ bất định nhằm đảm bảo và giảm nguy cơ sử dụng các giá trị giống hệt nhau trong hai hệ mật khác nhau. Vì vậy, nên giữ trạng thái bên trong lớn hơn x, ví dụ: x + 64 thường cung cấp một giá trị biên đủ lớn, trong khi nếu kẻ tấn công có thể tính toán trước và có lượng bộ nhớ rất lớn, thì phải sử dụng kích cỡ 2x (xem ví dụ [10]).

4. Phần bí mật của trạng thái bên trong phải có một thời hạn xác định cụ thể sau khi bộ tạo bit ngẫu nhiên ngừng hoạt động hoặc được nâng cấp lại với độ bất định bổ sung đầy đủ. Các hoạt động sử dụng giá trị mầm cũ phải chấm dứt sau khi hết thời hạn quy định. Xem ISO/IEC 11770-1 để biết thêm thông tin chi tiết về vòng đời của khóa.

5. Không được sử dụng lại trạng thái bên trong, trừ trường hợp vô tình. Vì cùng một giá trị mầm giống nhau sẽ không là đầu vào cho một trường hợp khác của bộ tạo bit ngẫu nhiên tất định.

6.2.4.3  Yêu cầu tùy chọn đối với trạng thái bên trong

...

...

...

6.2.5  Hàm chuyển đổi trạng thái bên trong

6.2.5.1  Giới thiệu về hàm chuyển đổi trạng thái bên trong

Hàm chuyển đổi trạng thái bên trong làm thay đổi trạng thái bên trong của bộ tạo bit ngẫu nhiên. Trong một bộ tạo bit ngẫu nhiên tất định, hàm chuyển đổi trạng thái bên trong bao gồm một hoặc nhiều thuật toán mật mã, chính là một phần của bộ tạo. Hàm chuyển đổi trạng thái bên trong bao gồm mọi thứ trong bộ tạo bit ngẫu nhiên có thể thiết lập hoặc thay đổi trạng thái bên trong. Theo quy ước, nguồn bất định hoặc bất kỳ đầu vào dữ liệu của bộ tạo bit ngẫu nhiên không được hoạt động trực tiếp trên trạng thái bên trong. Thay vào đó, nguồn bất định và các đầu vào dữ liệu khác của bộ tạo bit ngẫu nhiên là đối số cho các hàm hoạt động trên trạng thái bên trong.

Vì trạng thái bên trong có thể bao gồm một số thành phần riêng biệt, các hàm chuyển đổi trạng thái bên trong có thể bao gồm nhiều tập hàm khác nhau, phân biệt bởi thành phần trạng thái mà chúng tác động. Các hàm trong tập đó có thể đơn giản như hàm định danh hoặc phức tạp như một hàm mật mã. Đối với một thanh ghi xung hoặc thanh ghi bộ đếm, hàm sắp xếp thanh ghi như một xung hoặc bộ đếm là một thành phần của hàm chuyển đổi trạng thái bên trong. Vì đầu ra của các hàm này luôn điều khiển một thành phần của trạng thái bên trong, nên đầu vào có thể là nguồn bất định, một đầu vào bộ tạo bit ngẫu nhiên bên ngoài khác, các thành phần khác nhau của trạng thái bên trong hoặc bất kỳ sự kết hợp nào.

Hàm chuyển đổi trạng thái bên trong cũng phải cho phép thao tác an toàn (ví dụ: cập nhật) đối với tham số bí mật. Việc kết nối tới các hàm này phải được kiểm soát chặt chẽ.

Trong một bộ tạo bit ngẫu nhiên tất định, hàm chuyển đổi trạng thái bên trong có chức năng an toàn nhiều hơn cho bộ tạo, bao gồm cả lượng đầu ra mà bộ tạo bit ngẫu nhiên có thể tạo ra với một đầu vào nguồn bất định cho trước.

Trong một bộ tạo bit ngẫu nhiên bất định, hàm chuyển đổi trạng thái bên trong xác định cách thức quá trình thu thập độ bất định ảnh hưởng đến trạng thái bên trong của bộ tạo bit ngẫu nhiên và có thể hoạt động theo nhiều cách: các hàm này có thể là các thuật toán đơn giản, phi trạng thái hoặc có thể kết hợp các trạng thái trước đó với độ bất định mới thu thập được để tích lũy độ bất định.

6.2.5.2  Các yêu cầu đối với hàm chuyển đổi trạng thái bên trong

Các yêu cầu đối với hàm chuyển đổi trạng thái bên trong của một bộ tạo bit ngẫu nhiên như sau:

...

...

...

2. Hàm chuyển đổi trạng thái bên trong phải phụ thuộc hoàn toàn vào độ bất định do trạng thái bên trong mang đến.

3. Hàm chuyển đổi trạng thái bên trong phải chống lại quan sát và phân tích thông qua việc tiêu thụ điện năng, thời gian, bức xạ hoặc các kênh kề phù hợp khác.

4. Không thể (cố ý hoặc vô ý) làm cho hàm chuyển đổi trạng thái bên trong quay về trạng thái trước đó khi đang hoạt động bình thường (không bao gồm kiểm thử và xác minh có ủy quyền đầu ra của bộ tạo bit ngẫu nhiên).

6.2.5.3  Yêu cầu tùy chọn đối với hàm chuyển đổi trạng thái bên trong

Hàm chuyển đổi trạng thái bên trong có thể cho phép bộ tạo bit ngẫu nhiên khôi phục lại từ sự thỏa hiệp về trạng thái bên trong (tức là cung cấp tính an toàn về phía trước) thông qua sự kết hợp độ bất định định kỳ.

6.2.6  Hàm tạo đầu ra

6.2.6.1  Giới thiệu về hàm tạo đầu ra

Hàm tạo đầu ra (Output Generation Function - OGF) hoạt động trên trạng thái bên trong để tạo ra các bit đầu ra theo yêu cầu của ứng dụng. Một yêu cầu gửi đến OGF chứa (ít nhất) số bit đầu ra yêu cầu và độ an toàn tối thiểu cần thiết cho các bit đó. Yêu cầu như vậy có thể làm cho trạng thái bên trong được cập nhật bởi hàm chuyển đổi trạng thái bên trong. OGF chấp nhận thành phần trạng thái làm việc của trạng thái bên trong như là đầu vào và tạo ra đầu ra của bộ tạo bit ngẫu nhiên. Nó có thể đơn giản như hàm định danh hoặc phức tạp như một hàm mật mã. OGF có thể định dạng hoặc chặn đầu ra để phù hợp với quy ước về giao diện bên ngoài. Thông thường, OGF là hàm một chiều, do đó rất khó để tìm ra hàm ngược của OGF nhằm khôi phục một phần của trạng thái bên trong.

OGF là tất định và luôn luôn tạo ra cùng một đầu ra cho bất kỳ giá trị cụ thể nào của trạng thái bên trong. Vì vậy, mối quan hệ giữa OGF và hàm chuyển đổi trạng thái bên trong vô cùng quan trọng. Hàm chuyển đổi trạng thái bên trong phải được gọi ít nhất một lần để cập nhật trạng thái làm việc giữa các hoạt động liên tiếp của hàm tạo đầu ra.

...

...

...

Các yêu cầu đối với hàm tạo đầu ra của một bộ tạo bit ngẫu nhiên như sau:

1. Hàm tạo đầu ra là tất định (với mọi đầu vào cho trước) và phải được kiểm tra bằng kiểm thử đã biết câu trả lời. Kết quả của việc kiểm thử đã biết câu trả lời được tách ra từ đầu ra hoạt động.

2. Hàm tạo đầu ra phải sử dụng thông tin từ trạng thái bên trong chứa độ bất định đủ lớn theo độ an toàn được yêu cầu.

3. Đầu ra sẽ bị chặn lại cho đến khi trạng thái bên trong nhận được độ bất định được đánh giá là phù hợp.

4. Khi một trạng thái bên trong cụ thể được sử dụng làm đầu ra, thì trạng thái bên trong phải được thay đổi để tạo ra nhiều đầu ra hơn.

5. Hàm tạo đầu ra phải chống lại quan sát và phân tích thông qua việc tiêu thụ điện năng, thời gian, bức xạ hoặc các kênh kề phù hợp khác.

6.2.6.3  Yêu cầu tùy chọn đối với hàm tạo đầu ra

Hàm tạo đầu ra phải bảo vệ trạng thái bên trong, do đó việc phân tích đầu ra của bộ tạo bit ngẫu nhiên không tiết lộ thông tin hữu ích gì về trạng thái bên trong.

6.2.7  Hàm hỗ trợ

...

...

...

Các hàm hỗ trợ liên quan đến việc đánh giá chất lượng của bộ tạo bit ngẫu nhiên: không thay đổi trạng thái bên trong. Hàm hỗ trợ bao gồm các hàm đánh giá độ bất định của đầu vào, hàm đánh giá chất lượng thống kê của đầu ra và hàm kiểm tra xem các hàm bên trong có bị xâm nhập hay không.

Hàm bên trong (tức là “chất lượng” của phần tất định trong bộ tạo bit ngẫu nhiên) có thể được kiểm tra hiệu quả nhất bằng kiểm thử đã biết câu trả lời. “Chất lượng” của nguồn bất định và chất lượng đầu ra cần phải được kiểm tra bằng các kỹ thuật hoặc kiểm thử thống kê.

Thông tin cụ thể về việc đánh giá chất lượng của bộ tạo bit ngẫu nhiên tất định và bất định có trong mục 8 và 9.

6.2.7.2  Các yêu cầu đối với hàm hỗ trợ

Các yêu cầu đối với hàm hỗ trợ của một bộ tạo bit ngẫu nhiên như sau:

1. Bộ tạo bit ngẫu nhiên phải được thiết kế để cho phép kiểm thử nhằm đảm bảo rằng bộ tạo hoạt động chính xác.

2. Khi một bộ tạo bit ngẫu nhiên kiểm thử thất bại, bộ tạo bit ngẫu nhiên phải chuyển sang trạng thái lỗi và đưa ra cảnh báo lỗi. Bộ tạo bit ngẫu nhiên không được thực hiện bất cứ hoạt động nào khi đang trong trạng thái lỗi.

7  Phân loại bộ tạo bit ngẫu nhiên

7.1  Giới thiệu về các loại bộ tạo bit ngẫu nhiên

...

...

...

Nếu nguồn bất định là một hệ thống có thể trích xuất một lượng độ bất định bất kỳ bằng cách lấy mẫu, với điều kiện là hệ thống này hoạt động trong một khoảng thời gian đủ dài, thì nó được coi là một nguồn bất định không xác định. Cụ thể là không có thuật toán tất định nào có thể dự đoán đầu ra của một nguồn bất định không xác định.

Nếu nguồn bất định là một giá trị mầm, thì được gọi là nguồn bất định xác định. Giá trị mầm (xem 9.3) có thể được cung cấp cho bộ tạo bit ngẫu nhiên từ hệ thống bên ngoài hoặc từ bên trong bộ tạo bit ngẫu nhiên. Nếu giá trị mầm được cung cấp từ ngoài bộ tạo bit ngẫu nhiên, giả thiết rằng bộ tạo có độ bất định đầy đủ và được rút ra từ một tập cụ thể. Mặc khác, nếu giá trị mầm được cung cấp từ bên trong bộ tạo bit ngẫu nhiên, nó được đánh giá là có đủ độ bất định và được rút ra từ một tập cụ thể.

Phải đảm bảo rằng kẻ tấn công không thể kiểm soát hoàn toàn giá trị mầm nhằm làm suy giảm độ bất định của đầu ra bộ tạo bit ngẫu nhiên.

Một bộ tạo bit ngẫu nhiên được gọi là bộ tạo bit ngẫu nhiên bất định nếu nguồn bất định chính là không xác định. Một bộ tạo bit ngẫu nhiên được gọi là bộ tạo bit ngẫu nhiên tất định nếu nguồn bất định chính là xác định. Bộ tạo bit ngẫu nhiên cũng có thể sử dụng nguồn bất định bổ sung có thể là tất định hoặc bất định.

7.2  Bộ tạo bit ngẫu nhiên bất định

Bộ tạo bit ngẫu nhiên bất định có thể được phân loại dựa vào tính chất của nguồn bất định không xác định. Một nguồn bất định không xác định là nguồn vật lý hoặc phi vật lý.

Nguồn bất định không tất định vật lý là nguồn bất định mà trong đó phần cứng chuyên dụng được sử dụng để đo các đặc tính vật lý của một số sự kiện trong thế giới thực. Các thiết bị như vậy tiếp tục cung cấp đầu ra tạo nguồn điện cho thiết bị đo. Ví dụ về nguồn bất định không xác định vật lý bao gồm đo thời gian giữa những lần phân rã phóng xạ của một nguyên tử không ổn định, đo các đặc tính tiếng ồn của đi-ốt “nhiễu” hoặc không ổn định. Xem mục 8.3.2 để biết thêm thông tin chi tiết về các yêu cầu đối với nguồn bất định vật lý.

Một nguồn bất định không xác định phi vật lý là nguồn bất định không xác định bất kỳ không phải là một nguồn bất định không xác định vật lý. Ví dụ về nguồn bất định không xác định phi vật lý bao gồm đo thời gian giữa các lần ấn bàn phím hoặc lấy mẫu dữ liệu trong các phần bộ nhớ RAM sử dụng thường xuyên. Xem mục 8.3.3 để biết thêm thông tin chi tiết về các yêu cầu đối với nguồn bất định phi vật lý.

Bộ tạo bit ngẫu nhiên tất định vật lý là một bộ tạo bit ngẫu nhiên có nguồn bất định không xác định vật lý. Bộ tạo bit ngẫu nhiên bất định phi vật lý là một bộ tạo bit ngẫu nhiên có nguồn bất định không xác định phi vật lý.

...

...

...

Một bộ tạo bit ngẫu nhiên bất định lai ghép phải thỏa mãn tất cả các tiêu chuẩn an toàn áp dụng cho các bộ tạo bit ngẫu nhiên bất định thuần túy và cũng phải thỏa mãn các yêu cầu an toàn bổ sung (xem 8.3.5) thường áp dụng cho các bộ tạo bit ngẫu nhiên tất định.

Ưu điểm của việc sử dụng một giá trị mầm làm nguồn bất định bổ sung cho bộ tạo bit ngẫu nhiên bất định là cho phép người dùng tham số hóa đầu ra của bộ tạo bit ngẫu nhiên bất định. Do đó, đầu ra của bộ tạo bit ngẫu nhiên bất định có thể được cá nhân hóa và thậm chí có thể cho phép những người dùng khác nhau cùng sử dụng chung một nguồn bất định không xác định mà không ảnh hưởng đến an toàn của hệ thống. Ngay cả khi không có nhiều người dùng cùng sử dụng chung một nguồn bất định, thì giá trị mầm bí mật được coi là một tính năng an toàn bổ sung.

CHÚ THÍCH 1 Thông tin thêm về việc phân loại các bộ tạo bit ngẫu nhiên có trong [5].

CHÚ THÍCH 2 Ví dụ: một giá trị mầm bí mật có thể là một chức năng an toàn điển hình của bộ tạo bit ngẫu nhiên tất định. Nếu bộ tạo bit ngẫu nhiên bất định đáp ứng các yêu cầu của tiêu chuẩn ngay cả với một hàm chuyển đổi trạng thái đơn giản và hàm đầu ra đơn giản (xem mục 8.2 và E.1). Hàm chuyển đổi trạng thái mật mã hoặc hàm đầu ra mặt mã có thể là một chức năng an toàn điển hình của bộ tạo bit ngẫu nhiên tất định.

7.3  Bộ tạo bit ngẫu nhiên tất định

Bộ tạo bit ngẫu nhiên tất định cũng được chia làm hai loại là thuần túy và lai ghép. Một bộ tạo bit ngẫu nhiên tất định được gọi là “thuần túy” nếu tất cả các nguồn bất định của nó là giá trị mầm và là “lai ghép” nếu nó sử dụng một nguồn bất định không xác định là nguồn bất định bổ sung.

Một bộ tạo bit ngẫu nhiên tất định lai ghép phải thỏa mãn tất cả các điều kiện an toàn áp dụng cho các bộ tạo bit ngẫu nhiên tất định thuần túy và cũng phải thỏa mãn các yêu cầu an toàn bổ sung nhất định (xem 9.3.4).

CHÚ THÍCH 1 Độ an toàn của một bộ tạo bit ngẫu nhiên bất định lai ghép dựa trên thành phần không xác định còn độ an toàn của các bộ tạo bit ngẫu nhiên tất định lai ghép (xem 9.3.4) về cơ bản dựa trên các thành phần xác định. Nếu một bộ tạo bit ngẫu nhiên được xem vừa là bộ tạo bit ngẫu nhiên bất định lai ghép vừa là bộ tạo bit ngẫu nhiên tất định lai ghép, thì ký hiệu nó là “bộ tạo bit ngẫu nhiên lai ghép”. Rõ ràng, các bộ tạo bit ngẫu nhiên lai ghép có hai quan điểm về an toàn.

Ưu điểm của việc sử dụng một nguồn bất định không xác định làm nguồn bất định bổ sung là cho phép đầu ra không xác định và giúp ngăn chặn việc phân tích mã và/hoặc thêm các tính năng an toàn như tính an toàn về phía trước hoặc phía sau.

...

...

...

7.4  Phân loại bộ tạo bit ngẫu nhiên

Việc phân loại bộ tạo bit ngẫu nhiên bất định và bộ tạo bit ngẫu nhiên tất định được mô tả trong hình 2.

Sự phân biệt giữa một bộ tạo bit ngẫu nhiên bất định và một bộ tạo bit ngẫu nhiên tất định là sự phân loại của một loạt lựa chọn thiết kế. Ở một đầu là một bộ tạo bit ngẫu nhiên tất định được thiết kế để sử dụng một giá trị mầm cho toàn bộ vòng đời của nó. Ở đầu kia là một bộ tạo bit ngẫu nhiên bất định đơn giản được thiết kế với đầu ra của một nguồn bất định không xác định, mạnh và ngẫu nhiên. Các thiết kế bộ tạo bit ngẫu nhiên trung gian cho phép thay mầm mới định kỳ cho bộ tạo bit ngẫu nhiên tất định hoặc đưa các nguồn bất định không xác định vào bộ tạo bit ngẫu nhiên tất định. Các thiết kế bộ tạo bit ngẫu nhiên trung gian cho phép các bộ tạo bit ngẫu nhiên bất định có đầu ra cũng phụ thuộc vào giá trị mầm hoặc các bộ tạo bit ngẫu nhiên bất định xử lý đầu ra của nguồn bất định một cách phức tạp tương tự như cách một bộ tạo bit ngẫu nhiên tất định xử lý giá trị mầm. Lựa chọn đúng đắn cho một bộ tạo bit ngẫu nhiên là sự đánh đổi giữa chi phí và lợi ích tùy thuộc vào yêu cầu của ứng dụng.

Hình 2: Phân loại bộ tạo bit ngẫu nhiên

8  Giới thiệu và yêu cầu đối với bộ tạo bit ngẫu nhiên bất định

8.1  Giới thiệu về bộ tạo bit ngẫu nhiên bất định

Trong phần lớn các ứng dụng, bộ tạo bit ngẫu nhiên tất định sẽ được chọn sử dụng để tạo ra bit ngẫu nhiên. Do đó, việc sử dụng một bộ tạo bit ngẫu nhiên bất định đáp ứng tiêu chuẩn này sẽ tạo ra các giá trị mầm khởi tạo ngẫu nhiên cho một bộ tạo bit ngẫu nhiên tất định. Tuy nhiên, tiêu chuẩn này không loại trừ việc sử dụng một bộ tạo bit ngẫu nhiên bất định để tạo ra tất cả các bit ngẫu nhiên cần thiết của ứng dụng.

Theo mục tiêu của tiêu chuẩn này, một bộ tạo bit ngẫu nhiên bất định phải đáp ứng các yêu cầu quy định trong mục 5 và 6. Tuy nhiên, các mục tiêu và yêu cầu duy nhất của bộ tạo bit ngẫu nhiên bất định vượt quá các điểm quy định tại mục 5 và 6 được áp dụng cho các thiết kế của bộ tạo bit ngẫu nhiên bất định, được trình bày cụ thể từ mục 8.3 đến 8.9. Các ví dụ về bộ tạo bit ngẫu nhiên bất định có trong phụ lục E.

...

...

...

Mục này sẽ giới thiệu đặc tả về các thành phần và mô hình chung cho một bộ tạo bit ngẫu nhiên bất định. Nó sẽ mô tả hoạt động chung của một bộ tạo bit ngẫu nhiên bất định, bao gồm các mục tiêu của mỗi thành phần chức năng của bộ tạo bit ngẫu nhiên bất định cần đạt được.

Hình 3 minh họa sơ đồ khối chức năng mô tả một bộ tạo bit ngẫu nhiên bất định khái niệm đáp ứng tiêu chuẩn này. Trong sơ đồ này, các đường nét đứt chỉ ra thành phần là tùy chọn phụ thuộc vào các yếu tố khác nhau, cần lưu ý rằng các thành phần hiển thị không nhất thiết phải được thực thi như là thành phần vật lý thực tế, nhưng phải thực thi chức năng của nó.

Mỗi thành phần cũng như mục tiêu và yêu cầu của thành phần đó giúp ngăn chặn những điểm yếu an toàn liên quan đến quá trình tạo bit ngẫu nhiên trong các ứng dụng và môi trường mật mã. Nhìn chung, mỗi thành phần sau đây sẽ được yêu cầu trong một bộ tạo bit ngẫu nhiên bất định. Trong một số ứng dụng, có thể lập luận rằng không có yêu cầu nào được áp dụng đối với một thành phần nhất định. Nếu điều này được chứng minh và được ghi nhận, thì thành phần đó có thể loại bỏ khỏi bộ tạo bit ngẫu nhiên bất định, vì thành phần đó không có trong ứng dụng hoặc vì mục tiêu của thành phần đó đã được đáp ứng hoặc được giải quyết bằng các thành phần khác.

Sau đây là tổng quan về cách thức mà các thành phần này tương tác để tạo ra đầu ra ngẫu nhiên. Nguồn bất định không xác định hoạt động theo xác suất thường không tạo ra đầu ra ngẫu nhiên chấp nhận được.

Một hàm chuyển đổi trạng thái bên trong dựa trên một hoặc nhiều hàm mật mã tất định kết hợp một số lượng nhất định dữ liệu nguồn bất định với dữ liệu trạng thái làm việc để tạo ra một trạng thái làm việc mới. Hàm chuyển đổi trạng thái bên trong hoàn thành quá trình này bằng cách liên kết với mỗi kết hợp có thể của chuỗi đầu vào và trạng thái làm việc hiện tại để tạo ra một giá trị của trạng thái làm việc tiếp theo được xác định bằng giá trị hiện tại của tham số bí mật. Nếu độ dài của dữ liệu đầu vào nguồn bất định được sử dụng cho mỗi lần chuyển đổi trạng thái bên trong là n bit và kích thước của trạng thái làm việc là m bit, thì hàm chuyển đổi trạng thái bên trong là một hàm ánh xạ từ không gian của các chuỗi (n + m) bit sang không gian của các chuỗi m bit. Kích thước tham số sử dụng trong một bộ tạo bit ngẫu nhiên bất định sẽ làm cho số lượng đầu vào có thể của hàm này lớn hơn số lượng đầu ra có thể của hàm. Điều này dẫn đến một số lượng lớn các kết hợp của chuỗi đầu vào và trạng thái làm việc hiện tại được gán cho bất kỳ đầu ra cụ thể nào đối với trạng thái làm việc mới. Ngoài ra, vì các hàm mật mã dựa trên các hàm chuyển đổi trạng thái bên trong điển hình đã được phân tích mật mã kỹ lưỡng, nên có thể giả định rằng hàm chuyển đổi trạng thái bên trong sẽ ánh xạ không gian đầu vào đến không gian đầu ra một cách đồng nhất (tức là mỗi đầu ra có cùng số lượng tiền ảnh giống nhau). Những giả định này đáp ứng mục tiêu tạo ra các chuỗi nhị phân có phân bố đều trong trạng thái làm việc. Đặc điểm để phân biệt giữa bộ tạo bit ngẫu nhiên tất định và bộ tạo bit ngẫu nhiên bất định là bộ tạo bit ngẫu nhiên bất định sẽ thêm độ bất định mới vào trạng thái của nó với tốc độ lớn hơn hoặc bằng với tốc độ mà nó tạo ra độ bất định. Do đó, bất cứ khi nào ứng dụng đòi hỏi đầu ra ngẫu nhiên, bộ tạo bit ngẫu nhiên bất định đảm bảo rằng trạng thái bên trong chứa đủ độ bất định chưa được sử dụng để tạo ra đầu ra ngẫu nhiên, sau đó sử dụng hàm tạo đầu ra để xử lý trạng thái làm việc hiện tại để tạo ra đầu ra ngẫu nhiên.

Hàm tạo đầu ra có trạng thái bên trong, cần phải giữ bí mật đối với kẻ tấn công và tạo ra đầu ra ngẫu nhiên. Hàm tạo đầu ra cũng thường là một hàm mật mã hoặc hàm khác có phân phối đều. Một đối số tương tự như đối với hàm chuyển đổi trạng thái bên trong dẫn đến kết luận rằng với các lựa chọn kích cỡ tham số phù hợp, hàm tạo đầu ra sẽ tạo ra đầu ra nhị phân có phân phối đều.

Đối với nhiều nguồn bất định vật lý, độ bất định của mỗi bit phải đủ lớn để các bit này có thể ứng dụng trực tiếp hoặc ứng dụng được sau một thao tác xử lý sau đơn giản (ví dụ: XOR đầu ra của nguồn bất định với trạng thái trong hiện tại). Ngoài ra, hoạt động của nguồn bất định vật lý thường có thể được mô tả bằng cách sử dụng một mô hình ngẫu nhiên (xem ví dụ [7]). Mô hình như vậy cho phép kiểm tra thống kê để phát hiện lỗi của nguồn (tức là khi nguồn tạo ra đầu ra không đủ ngẫu nhiên cho ứng dụng). Vì vậy có thể lựa chọn các hàm chuyển đổi trạng thái và hàm tạo đầu ra rất đơn giản, điều này tạo điều kiện cho việc xác định tính ngẫu nhiên của các bit đầu ra. Các tham số bí mật có thể không cần thiết trong trường hợp này.

Đối với các nguồn bất định phi vật lý, độ bất định của mỗi bit có thể thấp hơn so với các nguồn bất định vật lý và khó xác định chính xác thời điểm nguồn bất định bị lỗi. Trong những trường hợp như vật, cần phải có nhiều hoạt động xử lý sau phức tạp hơn để đảm bảo rằng đầu ra của bộ tạo bit ngẫu nhiên là hoàn toàn ngẫu nhiên và đối phó được với lỗi không xác định của nguồn bất định.

Một bộ tạo bit ngẫu nhiên bất định an toàn bao gồm các cơ chế được thiết kế để tăng khả năng hoạt động an toàn liên tục trong trường hợp lỗi hoặc thỏa hiệp. Lỗi phát hiện được giải quyết thông qua một loạt các kiểm thử chất lượng định kỳ đối với các thành phần khác nhau. Các lỗi hoặc thỏa hiệp không thể phát hiện được giải quyết theo hai cách. Thứ nhất, trạng thái bên trong của bộ tạo bit ngẫu nhiên bất định bao gồm một tham số bí mật thay đổi định kỳ dùng làm tham số cho hoạt động tất định của hàm chuyển đổi trạng thái bên trong. Do thành phần này, thông tin về phần còn lại của trạng thái nội bộ (được gọi là trạng thái làm việc) của bộ tạo bit ngẫu nhiên bất định và tất cả các đầu vào cho bộ tạo bit ngẫu nhiên bất định là không đủ để xác định đầu ra của bộ tạo bit ngẫu nhiên bất định. Cách thứ hai là xác định một biên độ an toàn trong việc duy trì độ bất định trong quá trình hoạt động của bộ tạo bit ngẫu nhiên bất định, do đó giảm độ bất định đầu vào có sẵn do các sự kiện bất thường hoặc mô hình thống kê không chính xác dẫn đến đầu ra ngẫu nhiên bị chệch. Mục tiêu của một bộ tạo bit ngẫu nhiên bất định phù hợp với tiêu chuẩn này là bộ tạo bit ngẫu nhiên bất định phải tiếp tục hoạt động an toàn như bộ tạo bit ngẫu nhiên tất định trong trường hợp nguồn bất định bị lỗi.

...

...

...

1. Có thể kiểm tra rằng kiểm thử chất lượng đối với nguồn bất định được thực hiện sớm để phát hiện các điểm yếu và lỗi có thể của nguồn bất định, có thể làm giảm chất lượng của các bit ngẫu nhiên vượt quá mức chấp nhận được; và

2. Các biện pháp thích hợp được thực hiện trong trường hợp đó (ví dụ: ngừng việc tạo ra các bit ngẫu nhiên).

CHÚ THÍCH Để đáp ứng các yêu cầu này đối với nguồn bất định vật lý, có thể sử dụng phần cứng chuyên dụng. Đề xuất chung được quy định trong [13].

Tính an toàn về phía trước và phía sau là các đặc tính của một bộ tạo bit ngẫu nhiên bất định được thực thi và hoạt động tốt vì không biết đầu vào. Trên thực tế, đó là một tính năng vốn có của một bộ tạo bit ngẫu nhiên bất định vì bộ tạo bit ngẫu nhiên bất định luôn có độ bất định mới cho mỗi lần gọi. Do đó, tính an toàn về phía trước và phía sau được tự động cung cấp nếu nguồn bất định cung cấp đủ độ bất định.

Hình 3: Sơ đồ khối của một bộ tạo bit ngẫu nhiên bất định

8.3  Nguồn bất định của bộ tạo bit ngẫu nhiên bất định

8.3.1  Nguồn bất định chính của bộ tạo bit ngẫu nhiên bất định

8.3.1.1  Giới thiệu về nguồn bất định chính của bộ tạo bit ngẫu nhiên bất định

...

...

...

Nguồn bất định vật lý là nguồn trong đó phần cứng chuyên dụng được sử dụng để đo các đặc tính vật lý của một chuỗi sự kiện trong thế giới thực. Ví dụ: nguồn bất định vật lý bao gồm đo thời gian giữa những lần phân rã của nguyên tử không ổn định và đầu ra của một đi-ốt nhiễu, nhận được mức điện áp đầu vào liên tục và phát ra mức điện áp tương tự có phân phối đều và liên tục.

Nguồn bất định phi vật lý là nguồn bất định không xác định và không phải là nguồn vật lý. Ví dụ về nguồn bất định phi vật lý là dữ liệu hệ thống hoặc nội dung RAM trong một máy tính cá nhân, tín hiệu không liên tục dựa trên sự kiện xảy ra bất thường hoặc tương tác trong một khoảng thời gian chẳng hạn như lấy mẫu bộ đếm tốc độ cao bất cứ khi nào có thao tác nhấn phím trên bàn phím.

Thông tin thêm và những yêu cầu cụ thể cho nguồn bất định vật lý và phi vật lý có trong mục 8.3.2 và 8.3.3 tương ứng.

Tùy thuộc vào nguồn bất định, đầu ra của nguồn bất định có thể không đủ để sử dụng trực tiếp cho đầu ra ngẫu nhiên vì đầu ra không ở dạng chuỗi số nhị phân hoặc bị chệch. Những hạn chế này được khắc phục trong một bộ tạo bit ngẫu nhiên bất định bằng cách xử lý đầu ra nguồn bất định với hàm chuyển đổi trạng thái bên trong để tạo ra dữ liệu đầu ra nhị phân.

Độ bất định đầu ra từ bộ tạo bit ngẫu nhiên bất định không thể lớn hơn độ bất định của đầu vào.

8.3.1.2  Yêu cầu đối với nguồn bất định chính của bộ tạo bit ngẫu nhiên bất định

Nguồn bất định chính là nền tảng của hoạt động không xác định trong bộ tạo bit ngẫu nhiên bất định. Theo định nghĩa của một bộ tạo bit ngẫu nhiên bất định, thiết kế của nó phải bao gồm thành phần này.

Yêu cầu chức năng của nguồn bất định chính như sau:

1. Mặc dù nguồn bất định không bắt buộc phải tạo ra đầu ra không chệch và độc lập, nhưng nó phải có những tính chất xác suất tức là không thể xác định được bằng bất kỳ quy tắc thuật toán đã biết.

...

...

...

3. Nguồn bất định phải phù hợp với việc kiểm thử bằng một phòng kiểm thử hoặc một quy trình kiểm tra độc lập khác để đảm bảo hoạt động hợp lý. Đặc biệt có thể thu thập một mẫu dữ liệu từ nguồn bất định trong quá trình kiểm tra hợp lệ hoặc xác minh độc lập để cho phép đánh giá mô hình thống kê đã yêu cầu, tỷ lệ độ bất định và sự phù hợp của các bài kiểm thử chất lượng đối với nguồn bất định.

4. Phải phát hiện được lỗi hoặc việc suy giảm nghiêm trọng nguồn bất định. Dựa trên tần suất thực hiện các bài kiểm thử chất lượng, việc phát hiện này có thể không phải là ngay lập tức.

5. Nguồn bất định phải được bảo vệ khỏi sự phá hoại của kẻ tấn công. Đặc biệt, kẻ tấn công không có khả năng ảnh hưởng đến nguồn bất định bằng cách làm giảm độ bất định của nguồn xuống dưới ngưỡng.

8.3.1.3  Yêu cầu tùy chọn đối với nguồn bất định chính của bộ tạo bit ngẫu nhiên bất định

Các tính năng tùy chọn nhưng được kiến nghị của nguồn bất định chính như sau:

1. Nguồn bất định phải giữ được các tính chất toán học. Nếu không giữ được thì phải có giới hạn về xác suất biến động. Hoạt động xác suất của nguồn không được thay đổi đáng kể theo thời gian. Ví dụ: nếu nguồn bất định tạo ra đầu ra từ một bảng chữ cái nhất định có phân bố thống kê, nó phải nhất quán trong độ chệch này theo thời gian. Một nguồn bất định không cố định sẽ làm phức tạp quá trình ước tính tỷ lệ đóng góp độ bất định và tăng độ khó của việc kiểm tra hợp lệ của thiết kế bộ tạo bit ngẫu nhiên bất định (trừ khi thiết kế bao gồm các nguồn bất định bổ sung đáp ứng được yêu cầu này).

2. Các bài kiểm thử chất lượng được thiết kế phù hợp với mô hình thống kê đã biết của nguồn phải chú trọng đặc biệt đến việc phát hiện hành vi có khả năng xảy ra gần ranh giới giữa môi trường hoạt động và điều kiện bất thường. Điều này đòi hỏi cần hiểu thấu đáo về hoạt động của nguồn bất định.

8.3.2  Nguồn bất định vật lý cho bộ tạo bit ngẫu nhiên bất định

8.3.2.1  Giới thiệu về nguồn bất định vật lý của bộ tạo bit ngẫu nhiên bất định

...

...

...

Thông thường, nguồn bất định này cần được giải thích rõ ràng trước khi sử dụng. Điều này có thể được thực hiện bằng cách so sánh dữ liệu vật lý do nguồn bất định cung cấp với một loạt các giá trị ngưỡng. Dữ liệu được cung cấp bởi nguồn bất định có thể được so sánh với một giá trị ngưỡng duy nhất, do đó một lần đọc nguồn tạo ra một bit đầu ra hoặc được so sánh với một loạt các giá trị ngưỡng sao cho một lần đọc nguồn tạo ra một số bit đầu ra.

Vì một nguồn bất định vật lý thường được chứa trong một ranh giới mật mã của bộ tạo bit ngẫu nhiên bất định, điều kiện an toàn được nhấn mạnh là việc thu thập và giải thích về nguồn bất định vật lý thực sự chứ không phải là khả năng kẻ tấn công có thể lấy được thông tin và/hoặc gây ảnh hưởng quá mức đến nguồn.

Một ưu điểm của nguồn bất định vật lý là có thể mô hình hỏa như một quá trình ngẫu nhiên. Điều này dẫn đến việc kiểm tra chất lượng trực tuyến luôn hiệu quả nhằm xác định chính xác thời điểm nguồn bất định vật lý bị lỗi. Các bài kiểm tra như vậy có thể được sử dụng để ngăn chặn một bộ tạo bit ngẫu nhiên bất định vật lý tiếp tục hoạt động với một nguồn bất định có thể dự đoán được và có thể loại bỏ một số hàm chuyển đổi trạng thái phức tạp hoặc hàm tạo đầu ra.

8.3.2.2  Yêu cầu đối với nguồn bất định vật lý của bộ tạo bit ngẫu nhiên bất định

Các yêu cầu chức năng đối với nguồn bất định vật lý như sau:

1. Các giá trị ngưỡng phải được chọn sao cho chuỗi đầu ra chứa một lượng độ bất định đủ lớn để ứng dụng. Lưu ý rằng có sự khác biệt giữa độ bất định do nguồn hiển thị (có thể tạo dữ liệu ở độ chính xác vô hạn) và độ bất định được cung cấp bởi biểu diễn nhị phân của nguồn đó.

2. Tổng lỗi của nguồn bất định phải được phát hiện ngay lập tức. Sự suy giảm của nguồn bất định phải được phát hiện đủ nhanh, trong đó “đủ nhanh” phụ thuộc vào mức độ suy giảm.

8.3.2.3  Yêu cầu tùy chọn đối với nguồn bất định vật lý của bộ tạo bit ngẫu nhiên bất định

Nguồn bất định phải được phân tích chính thức và các giá trị ngưỡng được chọn sao cho đầu ra chứa lượng độ bất định lớn nhất có thể. Điều này có thể xảy ra vì các nguồn bất định vật lý thật sự là tương đối đơn giản so với các nguồn bất định con người.

...

...

...

Nguồn bất định phi vật lý thường được cung cấp bởi một hệ thống theo yêu cầu của bộ tạo bit ngẫu nhiên bất định. Do đó, các nguồn bất định phi vật lý thường nằm ngoài ranh giới bảo vệ xác định của bộ tạo bit ngẫu nhiên bất định (xem 5.4). Dữ liệu thường ở dạng nhị phân. Ví dụ: nguồn có thể là biểu diễn số của thời gian giữa những lần nhấn phím (được đo bằng hệ thống), của số liệu thống kê mạng không thể đoán trước hoặc nội dung của các phần không thể dự đoán trong bộ nhớ RAM.

Vì nguồn bất định phi vật lý có ít nhất một phần nằm ngoài sự điều khiển của bộ tạo bit ngẫu nhiên bất định, nên phải có các biện pháp ngăn chặn để giảm thiểu khả năng kẻ tấn công thu được thông tin về dữ liệu và/hoặc khả năng ảnh hưởng đến nguồn bất định. Ngoài ra, vì rất khó để mô hình hóa một nguồn bất định phi vật lý một cách chính xác như là một quá trình ngẫu nhiên, nên càng khó để xác định được liệu nguồn đó có hoạt động chính xác hay không. Do đó, bộ tạo bit ngẫu nhiên bất định phi vật lý thường sử dụng các hàm chuyển đổi trạng thái và hàm tạo đầu ra phức tạp nhằm đảm bảo rằng bộ tạo bit ngẫu nhiên ít nhất phải an toàn như một bộ tạo bit ngẫu nhiên tất định trong khoảng thời gian từ khi nguồn bất định bị lỗi đến khi lỗi được phát hiện.

Không có thêm yêu cầu an toàn cho nguồn bất định phi vật lý.

8.3.4  Nguồn bất định bổ sung cho bộ tạo bit ngẫu nhiên bất định

8.3.4.1  Giới thiệu về nguồn bất định bổ sung cho bộ tạo bit ngẫu nhiên bất định

Hoạt động của bộ tạo bit ngẫu nhiên bất định cũng bao gồm một hoặc nhiều nguồn bất định bổ sung. Một nguồn bất định bổ sung có thể hữu ích vì nhiều lý do. Nó cung cấp một lớp bảo vệ chống lại sự suy giảm đầu ra của bộ tạo bit ngẫu nhiên bất định do nguồn bất định chính lỗi hoặc có sự sai khác với mô hình thống kê đặc trưng.

Trong trường hợp nguồn bất định chính được đánh giá từ bên ngoài, thì nguồn bất định bổ sung ít có khả năng bị truy cập từ ngoài vào sẽ làm giảm lượng thông tin hữu ích mà kẻ tấn công có thể thu được từ nguồn bất định chính.

Cuối cùng, việc sử dụng nhiều nguồn bất định cung cấp khả năng chia tách quyền kiểm soát, cho phép ứng dụng mà nhiều người dùng cần truy cập vào cùng một đầu ra của bộ tạo bit ngẫu nhiên bất định nhưng không tin tưởng vào những ảnh hưởng tiềm ẩn đối với các nguồn bất định riêng lẻ. Đối với các ứng dụng như vậy, có thể thiết kế bộ tạo bit ngẫu nhiên bất định sao cho sự tin tưởng của người dùng vào một nguồn bất định duy nhất là đủ để tin tưởng vào đầu ra cuối cùng của bộ tạo bit ngẫu nhiên bất định.

Bộ tạo bit ngẫu nhiên bất định có một nguồn bất định bổ sung không phải là nguồn bất định không xác định mà là nguồn bất định xác định, tức là một giá trị mầm. Một bộ tạo bit ngẫu nhiên bất định có nguồn bất định xác định thì được gọi là bộ tạo bit ngẫu nhiên bất định lai ghép. Bộ tạo bit ngẫu nhiên bất định lai ghép được quy định trong 8.3.5.

...

...

...

8.3.4.2  Yêu cầu đối với nguồn bất định bổ sung cho bộ tạo bit ngẫu nhiên bất định

Các yêu cầu chức năng đối với nguồn bất định bổ sung như sau:

Một nguồn bất định bổ sung sẽ được đưa vào nếu:

a) Nguồn bất định chính không đủ tin cậy do bị lỗi. Trong trường hợp này, nguồn bất định bổ sung phải đáp ứng các yêu cầu tương tự như nguồn bất định chính;

b) Nguồn bất định chính tạo ra độ bất định với tốc độ không bằng với tốc độ tạo bit ngẫu nhiên mong muốn. Trong trường hợp này, nguồn bất định bổ sung phải đáp ứng các yêu cầu tương tự như nguồn bất định chính. Ngoài ra, thay vì sử dụng một nguồn bất định bổ sung, giải pháp giải quyết vấn đề này được chấp nhận là sử dụng bộ tạo bit ngẫu nhiên bất định chỉ để tạo ra giá trị mầm ban đầu cho một bộ tạo bit ngẫu nhiên tất định; và

c) ứng dụng hoặc môi trường đòi hỏi bộ tạo bit ngẫu nhiên thực hiện các chức năng được cung cấp tốt nhất bởi một bộ tạo bit ngẫu nhiên bất định lai ghép, tức là bộ tạo bit ngẫu nhiên lấy giá trị mầm như một nguồn bất định. Trong trường hợp này, nguồn bất định bổ sung phải đáp ứng các điều kiện trong 8.3.5.

8.3.4.3  Yêu cầu tùy chọn đối với nguồn bất định bổ sung cho bộ tạo bit ngẫu nhiên bất định

Các tính năng tùy chọn nhưng được kiến nghị sử dụng của nguồn bất định bổ sung như sau:

1. Cho dù nguồn bất định bổ sung có cùng kiểu với nguồn bất định chính (tức là phiên bản thứ hai của cùng một nguồn bất định), hay là một thành phần hoặc quá trình hoàn toàn khác, thì nguồn này phải hoạt động độc lập với nguồn chính để đảm bảo rằng nguồn bất định kết hợp sẽ không mất độ bất định do sự phụ thuộc thống kê. Tính độc lập của các nguồn bất định cũng tạo điều kiện cho việc thiết kế và đánh giá hoặc quá trình kiểm tra độc lập bằng cách cho phép phân tách nguồn bất định chính và nguồn bất định thứ hai một cách riêng biệt và cũng làm giảm khả năng lỗi của nguồn bất định chính.

...

...

...

3. Nguồn bất định thứ hai nên được đưa vào trong thiết kế của bộ tạo bit ngẫu nhiên bất định nếu một trong hai điều sau là đúng:

a) Nguồn bất định chính là phần không ổn định (nghĩa là không nhất quán) trong hoạt động thống kê làm cho việc ước lượng độ bất định đầu vào trở nên khó khăn hơn; hoặc

b) Kẻ tấn công có thông tin hay gây ảnh hưởng đến nguồn bất định chính. Trong trường hợp này, nguồn bất định bổ sung phải đáp ứng các yêu cầu tương tự như nguồn chính, mặc dù có thể chấp nhận có một số thành phần tất định. Nghĩa là thao tác của người sử dụng hoặc các yếu tố từ môi trường hệ thống có thể ảnh hưởng (mặc dù không hoàn toàn xác định) đầu ra từ nguồn này.

8.3.5  Bộ tạo bit ngẫu nhiên bất định lai ghép

Một bộ tạo bit ngẫu nhiên bất định được coi là một bộ tạo bit ngẫu nhiên bất định lai ghép nếu nó lấy nguồn tất định làm đầu vào bổ sung. Ưu điểm chính của bộ tạo bit ngẫu nhiên bất định lai ghép là đầu ra không thể dự đoán được của nó được tham số hóa bằng giá trị mầm. Điều này giúp tăng cường độ an toàn vì thông tin về đầu ra của nguồn bất định chính không đủ để cho phép kẻ tấn công phá vỡ lược đồ hoặc cho phép các bộ tạo bit ngẫu nhiên sử dụng một nguồn bất định không xác định duy nhất với những giá trị mầm khác nhau mà không ảnh hưởng đến độ an toàn.

Các yêu cầu chức năng bổ sung đối với một bộ tạo bit ngẫu nhiên bất định lai ghép như sau:

1. Kẻ tấn công không thể dự đoán được bit tiếp theo với xác suất lớn hơn đáng kể 1/2 ngày cả khi kẻ tấn công có toàn quyền kiểm soát giá trị mầm.

2. Không kẻ tấn công nào có thể khôi phục lại thông tin về giá trị mầm bằng cách quan sát đầu ra của bộ tạo bit ngẫu nhiên.

3. Không người dùng nào không có thẩm quyền có thể điều khiển, ảnh hưởng hoặc cập nhật giá trị mầm.

...

...

...

8.4.1  Giới thiệu về đầu vào bổ sung của bộ tạo bit ngẫu nhiên bất định

Hoạt động của bộ tạo bit ngẫu nhiên bất định yêu cầu lấy một số đầu vào công khai và/hoặc do người dùng tạo ra như lệnh, dữ liệu về sự biến thiên điện năng và biến thiên thời gian như bộ đếm, xung, dữ liệu do người dùng cung cấp. Có thể giả thiết rằng những đầu vào bổ sung này có thể trực tiếp quan sát được hoặc dưới sự kiểm soát trực tiếp của kẻ tấn công. Do đó, điều quan trọng là việc điều khiển các giá trị đầu vào này không làm giảm hiệu suất của bộ tạo bit ngẫu nhiên, hoặc chỉ có một cá nhân hoặc nhân viên đã xác thực và có thẩm quyền có khả năng điều khiển những giá trị đầu vào này với một chính xác hoạt động được xác định duy nhất.

8.4.2  Yêu cầu đối với đầu vào bổ sung của bộ tạo bit ngẫu nhiên bất định

Yêu cầu chức năng của mọi đầu vào bổ sung phải bao gồm khả năng bảo vệ chống lại thao tác của kẻ tấn công (lệnh, xung, bộ hẹn giờ, nguồn điện...) gây ảnh hưởng đến độ an toàn của bộ tạo bit ngẫu nhiên.

CHÚ THÍCH Điều này có thể được thực hiện bằng cách hạn chế ảnh hưởng lên các đầu vào này trong việc kiểm soát tổng thể bộ tạo bit ngẫu nhiên bất định. Nguồn điện đầu vào là một trường hợp đặc biệt; sự gián đoạn của nguồn điện rõ ràng sẽ dẫn tới việc từ chối hoàn toàn dịch vụ. Môi trường hoạt động của bộ tạo bit ngẫu nhiên bất định phải được cung cấp điện liên tục. Đây là một vấn đề hệ thống và nằm ngoài phạm vi của tiêu chuẩn này.

8.5  Trạng thái bên trong của bộ tạo bit ngẫu nhiên bất định

8.5.1  Giới thiệu về trạng thái bên trong của bộ tạo bit ngẫu nhiên bất định

Thành phần này chứa thông tin được chuyển qua lại giữa các lần gọi đến bộ tạo bit ngẫu nhiên bất định và tất cả thông tin được xử lý trong một lần yêu cầu. Vì lý do này, trạng thái bên trong là một yêu cầu bắt buộc; tuy nhiên không bắt buộc là bất kỳ phần nào của trạng thái bên trong phụ thuộc vào các trạng thái trước đó, nghĩa là không yêu cầu bắt buộc đối với bất cứ phần nào của trạng thái bên trong được chuyển sang lần gọi kế tiếp của bộ tạo bit ngẫu nhiên bất định (ví dụ: khi tung đồng xu, không có trạng thái bên trong nào được chuyển sang lần tung đồng xu tiếp theo). Trong những trường hợp như vậy, trạng thái bên trong của bộ tạo bit ngẫu nhiên bất định hoàn toàn phụ thuộc vào đầu ra của nguồn bất định tại thời điểm bộ tạo bit ngẫu nhiên bất định được sử dụng.

Tuy nhiên, bằng cách giữ lại thông tin trạng thái này, bộ tạo bit ngẫu nhiên bất định có thể tạo đầu ra ngẫu nhiên là một hàm của đầu vào hiện tại từ nguồn bất định và của nhiều (hoặc tất cả) đầu vào trước đó. Điều này cung cấp một lớp bảo vệ chống lại lỗi hoặc sự suy giảm của nguồn bất định, cũng như sự thỏa hiệp đầu ra ngẫu nhiên của kẻ tấn công có thông tin hoặc ảnh hưởng đến nguồn bất định.

...

...

...

Khi khởi tạo đầu ra của nguồn bất định phải được đặt vào trạng thái bên trong, trạng thái làm việc là bắt buộc. Tất cả, một phần hoặc không có trạng thái bên trong nào có thể được chuyển sang lần gọi bộ tạo bit ngẫu nhiên bất định tiếp theo. Việc sử dụng tham số bí mật là tùy chọn, nhưng khi sử dụng, giá trị đó thường được giữ lại giữa các lần gọi bộ tạo bit ngẫu nhiên bất định và chỉ có thể được cập nhật bởi cá nhân hoặc nhân viên được xác thực và được ủy quyền trong ranh giới của chính sách hoạt động. Thông tin thêm về các vấn đề liên quan đến kiểm soát thông số bí mật được cung cấp trong ISO/IEC 11770-1 [6].

8.5.2  Yêu cầu đối với trạng thái bên trong của bộ tạo bit ngẫu nhiên bất định

Các yêu cầu chức năng của trạng thái bên trong như sau:

1. Thiết kế của bộ tạo bit ngẫu nhiên bất định phải bảo vệ để kẻ tấn công biết hoặc ảnh hưởng đến trạng thái bên trong.

CHÚ THÍCH 1 Một phương tiện để đạt được yêu cầu trên bao gồm việc chỉ định trạng thái bên trong tới vùng bộ nhớ chỉ có thể truy cập vào bộ tạo bit ngẫu nhiên bất định, lưu trữ bộ tạo bit ngẫu nhiên bất định trên một máy tính hoặc thiết bị độc lập hoặc thông qua các chính sách an ninh bảo vệ thiết bị và môi trường của nó.

2. Nếu tồn tại thì tham số bí mật phải được bảo vệ khỏi kẻ tấn công trong ranh giới bảo vệ của bộ tạo bit ngẫu nhiên bất định được thiết kế để phát hiện các nỗ lực xâm nhập trái phép.

3. Giá trị khởi tạo của tham số bí mật nếu tồn tại phải chứa độ bất định đủ lớn để đáp ứng yêu cầu an toàn của ứng dụng. Tham số bí mật khởi tạo này có thể được tạo ra bởi bộ tạo bit ngẫu nhiên bất định hoặc một bộ tạo bit ngẫu nhiên bất định khác. Nếu tham số bí mật được tạo ra bởi chính bộ tạo bit ngẫu nhiên bất định, bộ tạo bit ngẫu nhiên bất định phải hoạt động ở chế độ đặc biệt dành riêng cho mục đích này, trong đó kết quả đầu ra ngẫu nhiên trở thành tham số bí mật.

Tuy nhiên, nếu độ an toàn bổ sung được coi là một yêu cầu để bảo vệ chống lại các kịch bản kẻ tấn công thu được thông tin hoặc ảnh hưởng đến nguồn bất định có thể xảy ra, thì quá trình tạo tham số bí mật khởi tạo phải lấy dữ liệu bất định bổ sung từ một thành phần hệ thống khác hoặc thông qua tương tác của người dùng được kết hợp một cách nào đó với dữ liệu của nguồn bất định (tức là độ bất định bổ sung đóng vai trò là nguồn bất định thứ hai tạm thời).

CHÚ THÍCH 2 Ví dụ về tương tác của người dùng có thể bao gồm nhưng không giới hạn: nhấn phím, thời gian giữa các lần nhấn phím hoặc di chuyển chuột.

...

...

...

5. Tham số bí mật nếu có thì phải được thay thế định kỳ. Điều này hỗ trợ mục tiêu an toàn về phía trước và phía sau. Tham số bí mật chỉ được cập nhật thông qua các lệnh của nhân viên được xác thực và được ủy quyền trong ranh giới hoạt động của chính sách an toàn.

6. Nếu một tham số bí mật tồn tại và không được lấy từ một bộ tạo bit ngẫu nhiên bất định khác, thì quá trình thay thế hoặc cập nhật tham số bí mật phải liên quan đến các nguồn bất định và hàm chuyển đổi trạng thái bên trong.

CHÚ THÍCH 3 Lược đồ thay thế chỉ đơn giản là thay thế hoặc thêm tham số bí mật hiện tại với đầu ra ngẫu nhiên từ bộ tạo bit ngẫu nhiên bất định mà không được sử dụng cho bất kỳ mục đích gì khác.

7. Nếu nguồn bất định bị lỗi và trạng thái làm việc bị ảnh hưởng, thì bộ tạo bit ngẫu nhiên bất định phải chống lại mọi khả năng để buộc nó tạo ra đầu ra sẵn có.

CHÚ THÍCH 4 Bộ tạo bit ngẫu nhiên bất định ngừng hoạt động khi (các) nguồn bất định lỗi, hoặc, nếu bộ tạo bit ngẫu nhiên bất định bao gồm một tham số bí mật bằng cách đảm bảo rằng bộ tạo bit ngẫu nhiên bất định tiếp tục hoạt động một cách an toàn như bộ tạo bit ngẫu nhiên tất định. Đặc biệt, tham số bí mật phải có đủ dài để chống lại bất kỳ hình thức tấn công mật mã nào lên bộ tạo bit ngẫu nhiên bất định bao gồm cả phương pháp vét cạn.

8.5.3  Yêu cầu tùy chọn đối với trạng thái bên trong của bộ tạo bit ngẫu nhiên bất định

Các tính năng tùy chọn nhưng được khuyến nghị sử dụng đối với trạng thái bên trong như sau:

1. Kích thước tính bằng bit của trạng thái bên trong phải đủ lớn để bộ tạo bit ngẫu nhiên bất định tiếp tục hoặc động như một bộ tạo bit ngẫu nhiên tất định nếu nguồn bất định lỗi hoặc kẻ tấn công có mọi thông tin hoặc điều khiển được bộ tạo. Nếu dữ liệu của nguồn bất định là hằng số, thì chiều dài của chu kỳ tối đa được giới hạn bởi kích thước của trạng thái bên trong và đặt một giới hạn trên cho công việc mà kẻ tấn công phải thực hiện để khôi phục trạng thái bên trong (thông qua phương pháp vét cạn).

2. Tham số bí mật phải được giữ lại giữa các phiên làm việc để cung cấp cho bộ tạo bit ngẫu nhiên bất định một trạng thái duy nhất có đủ độ bất định tại mỗi lần kích hoạt khởi động mà không cần tạo ngay một giá trị tham số bí mật mới. Nếu điều này được thực hiện, nó sẽ bảo vệ bộ tạo khỏi truy cập của kẻ tấn công.

...

...

...

8.6  Hàm chuyển đổi trạng thái bên trong của bộ tạo bit ngẫu nhiên bất định

8.6.1  Giới thiệu về hàm chuyển đổi trạng thái bên trong của bộ tạo bit ngẫu nhiên bất định

Hàm chuyển đổi trạng thái bên trong điều khiển mọi hoạt động làm thay đổi trạng thái bên trong. Bao gồm các hàm bắt buộc nhằm biến đổi đầu ra của nguồn bất định vào trạng thái làm việc và phần hiện tại của trạng thái bên trong vào hàm tạo đầu ra. Thông thường các hàm này hoạt động độc lập với tham số bí mật.

Tuy nhiên, chức năng chính của các hàm chuyển đổi trạng thái bên trong là điều khiển các phần “mang đi” của trạng thái bên trong giữa các lần gọi của bộ tạo bit ngẫu nhiên bất định. Chức năng này là tùy chọn nhưng được khuyến nghị sử dụng. Một chức năng như vậy sẽ hoạt động theo hai phần.

1. Mang theo tham số bí mật mà không thay đổi.

2. Cập nhật trạng thái làm việc sử dụng hàm phụ thuộc vào trạng thái làm việc hiện tại và tham số bí mật (tùy chọn).

Hình 4 là một ví dụ về hàm chuyển đổi trạng thái bên trong với tham số bí mật.

Hình 4: Ví dụ về hàm chuyển đổi trạng thái bên trong

...

...

...

8.6.2  Yêu cầu đối với hàm chuyển đổi trạng thái bên trong của bộ tạo bit ngẫu nhiên bất định

Việc sử dụng hàm chuyển đổi trạng thái bên trong chỉ bắt buộc ở việc thu thập và lưu trữ đầu ra của nguồn bất định. Nếu đây là hàm duy nhất mà các hàm chuyển đổi trạng thái bên trong cung cấp thì không có yêu cầu bổ sung nào mà các hàm chuyển đổi trạng thái bên trong phải đáp ứng.

Nếu hàm chuyển đổi trạng thái bên trong tạo ra một trạng thái làm việc mới bằng việc kết hợp trạng thái bên trong trước đó với đầu ra của nguồn bất định, thì yêu cầu chức năng đối với hàm chuyển đổi trạng thái bên trong như sau.

Đối với mỗi lần thay thế phần tích lũy độ bất định của trạng thái bên trong, dữ liệu của nguồn bất định được xử lý bằng hàm chuyển đổi trạng thái bên trong phải có đủ số lượng để chứa ít nhất là nhiều bit độ bất định là độ an toàn (tính theo bit) được đánh giá của bộ tạo bit ngẫu nhiên bất định.

8.6.3  Yêu cầu tùy chọn đối với hàm chuyển đổi trạng thái bên trong của bộ tạo bit ngẫu nhiên bất định

Các tính năng tùy chọn nhưng được khuyến nghị sử dụng của hàm chuyển đổi trạng thái bên trong như sau:

1. Hàm chuyển đổi trạng thái bên trong phải đạt được tính an toàn về phía sau thông qua việc sử dụng hợp lý hàm một chiều, ví dụ: hàm băm mật mã.

2. Hàm chuyển đổi trạng thái bên trong phải có đặc tính là tất cả các bit trong trạng thái làm việc và đầu vào nguồn bất định sẽ ảnh hưởng đến các bit đầu ra của hàm chuyển đổi trạng thái bên trong.

3. Hoạt động của hàm chuyển đổi trạng thái bên trong phải bảo vệ chống lại việc quan sát và phần tích thông qua tiêu thụ điện năng, thời gian, phân rã phóng xạ hoặc các tấn công kênh kề khác. Những giá trị mà hàm chuyển đổi trạng thái bên trong làm việc (trạng thái bên trong, tham số bí mật và đầu vào nguồn bất định) là các giá trị quan trọng dựa trên tính bí mật của đầu ra ngẫu nhiên. Phân tích kênh kề có thể phá vỡ tính bí mật này.

...

...

...

8.7.1  Giới thiệu về hàm tạo đầu ra của bộ tạo bit ngẫu nhiên bất định

Thành phần này cung cấp đầu ra ngẫu nhiên cho ứng dụng yêu cầu bằng cách xử lý tất cả hoặc một tập con các bit trong trạng thái bên trong hiện tại, (cả trạng thái làm việc và tham số bí mật) và bất kỳ đầu vào bổ sung tùy chọn nào. Hàm tạo đầu ra là một thành phần quan trọng để đạt được tính an toàn về phía trước và phía sau. Thành phần này cung cấp tính an toàn về phía sau bằng cách ngăn không cho đầu ra ngẫu nhiên tiết lộ thông tin về các giá trị hiện tại hoặc trước đó của trạng thái bên trong, các đầu vào của nguồn bất định hoặc các đầu ra ngẫu nhiên.

8.7.2  Yêu cầu đối với hàm tạo đầu ra của bộ tạo bit ngẫu nhiên bất định

Các yêu cầu chức năng đối với hàm tạo đầu ra như sau:

1. Hàm tạo đầu ra phải không tạo ra độ chệch trong đầu ra ngẫu nhiên.

2. Đầu ra ngẫu nhiên từ hàm tạo đầu ra phải vượt qua các bài kiểm tra chất lượng thống kê khi được yêu cầu (xem 8.8.5).

3. Hàm tạo đầu ra phải xử lý các bit từ trạng thái bên trong ít nhất bằng số lượng các bit trong mỗi khối đầu ra ngẫu nhiên được tạo bởi hàm tạo đầu ra. Tùy thuộc vào loại hàm tạo đầu ra sử dụng, có thể cần xử lý nhiều hơn số lượng bit này từ trạng thái bên trong.

4. Hàm tạo đầu ra không được sử dụng lại dữ liệu từ phần trạng thái làm việc của trạng thái bên trong khi cung cấp dữ liệu ngẫu nhiên cho ứng dụng yêu cầu. Tức là (a) hàm chuyển đổi trạng thái bên trong sẽ thay thế các phần của trạng thái làm việc giữa những lần gọi đến hàm tạo đầu ra để đảm bảo không sử dụng lại hoặc (b) hàm tạo đầu ra sẽ sử dụng một phần chưa sử dụng trước đó của trạng thái làm việc để đảm bảo rằng dữ liệu không được sử dụng lại.

5. Hàm tạo đầu ra không được rò rỉ bất cứ thông tin nào về trạng thái bên trong có thể ảnh hưởng đến đầu ra tiếp theo.

...

...

...

Yêu cầu sau đây là tùy chọn. Có thể có trường hợp trong một số thiết kế, việc bao gồm yêu cầu này rất được khuyến khích.

Hàm tạo đầu ra không thể có hàm ngược để tiết lộ thông tin về trạng thái bên trong. Nghĩa là thông tin về đầu ra ngẫu nhiên do hàm tạo đầu ra tạo ra không được tiết lộ thông tin gì về trạng thái hiện tại.

8.8  Kiểm tra chất lượng đối với bộ tạo bit ngẫu nhiên bất định

8.8.1  Giới thiệu về kiểm tra chất lượng đối với bộ tạo bit ngẫu nhiên bất định

Thành phần này đảm bảo rằng toàn bộ quy trình của bộ tạo bit ngẫu nhiên bất định hoạt động chính xác và đầu ra của bộ tạo bit ngẫu nhiên bất định là ngẫu nhiên một cách liên tục. Các bài kiểm tra này sẽ phát hiện ra lỗi trong bộ tạo bit ngẫu nhiên bất định và ngăn ngừa việc sử dụng bộ tạo bit ngẫu nhiên bất định cho đến khi vượt qua các bài kiểm tra chất lượng. Những bài kiểm tra này là một phần trong thiết kế của bộ tạo bit ngẫu nhiên bất định; chúng được thực hiện tự động khi bật nguồn hoặc khởi động mà không cần sự can thiệp của các ứng dụng, quá trình hoặc người dùng khác và người dùng cũng có thể yêu cầu bất cứ khi nào.

Các bài kiểm tra chất lượng được trình bày trong tiêu chuẩn này bao gồm ba bộ: kiểm tra các thành phần tất định của bộ tạo bit ngẫu nhiên bất định, kiểm tra nguồn bất định và kiểm tra đầu ra ngẫu nhiên do bộ tạo bit ngẫu nhiên bất định tạo ra.

Kiểm tra các thành phần tất định được áp dụng cho tất cả các thiết kế của bộ tạo bit ngẫu nhiên bất định. Có thể có trường hợp tỷ lệ độ bất định đầu vào hoặc đầu ra ngẫu nhiên quá thấp để có thể thực hiện được tất cả các bài kiểm tra chất lượng thống kê trên các nguồn bất định hoặc đầu ra bộ tạo bit ngẫu nhiên bất định. Trong những trường hợp như vậy, nhà thiết kế có thể thay đổi các phép thử hoặc ngưỡng kiểm tra, cho phép kích thước mẫu nhỏ hơn trong khi vẫn giữ xác suất lỗi loại 1 tương đương nhau.

Các yêu cầu chung và các yêu cầu áp dụng cho mỗi bộ kiểm tra này được trình bày trong bốn tiểu mục dưới dây. Trong một số trường hợp, bộ tạo bit ngẫu nhiên bất định có thể có các tính năng hoặc chức năng bổ sung không được quy định trong tiêu chuẩn này và có thể bao gồm các bài kiểm tra riêng biệt. Trong những trường hợp này, nhà thiết kế phải ghi lại các mục tiêu của những tính năng bổ sung này và làm cơ sở cho các bài kiểm tra bổ sung.

Tần suất các bài kiểm tra chất lượng phải được thực hiện phụ thuộc vào thiết kế tổng thể của bộ tạo bit ngẫu nhiên. Ví dụ: nếu có thể đảm bảo rằng mọi lỗi của nguồn bất định có thể được phát hiện một cách nhanh chóng, để đảm bảo kiểm tra tần suất của nguồn bất định, thành phần tất định phải được đơn giản hóa.

...

...

...

Các yêu cầu chức năng đối với cả ba loại kiểm tra chất lượng được nêu ở trên như sau:

1. Bộ tạo bit ngẫu nhiên bất định phải tự động thực hiện các kiểm tra chất lượng toàn diện mỗi lần bật nguồn hoặc khởi động.

2. Bộ tạo bit ngẫu nhiên bất định phải cho phép kiểm tra chất lượng (nguồn bất định, thành phần tất định và đầu ra ngẫu nhiên) được thực hiện “theo yêu cầu”.

3. Tất cả đầu ra từ bộ tạo bit ngẫu nhiên phải bị ức chế trong khi thực hiện các kiểm tra chất lượng nhằm che giấu thông tin về hoạt động của bộ tạo bit ngẫu nhiên bất định và ngăn chặn việc rò rỉ thông tin nào về những lỗi có thể (bao gồm kiểm tra chất lượng về các thành phần tất định trong 8.8.3, kiểm tra chất lượng về nguồn bất định trong 8.8.4 và kiểm tra chất lượng về đầu ra ngẫu nhiên trong 8.8.5). Dữ liệu đã vượt qua tất cả các bài kiểm tra về đầu ra ngẫu nhiên có thể được sử dụng như đầu ra ngẫu nhiên sau khi hoàn thành tất cả các bài kiểm tra chất lượng.

CHÚ THÍCH Một ngoại lệ với yêu cầu này có thể tồn tại nếu kiểm tra chất lượng được liên tục áp dụng cho bộ tạo bit ngẫu nhiên bất định (ví dụ: các bài kiểm tra chất lượng về nguồn bất định hoặc kiểm tra thống kê đối với đầu ra). Trong trường hợp này, không cần thực hiện yêu cầu này.

4. Nếu bộ tạo bit ngẫu nhiên bất định được thực thi như phần mềm hoặc phần sụn, các bài kiểm tra chất lượng được thực hiện khi khởi tạo bao gồm kiểm tra tính toàn vẹn của mã thực thi (RAM, ROM hoặc thiết bị logic có thể lập trình). Ví dụ: chữ ký số hoặc mã xác thực thông báo được áp dụng cho phần mềm hoặc phần sụn.

Khi thực thi bộ tạo bit ngẫu nhiên bất định phải thực hiện các bài kiểm tra chất lượng với tần suất tăng lên trong suốt phiên hoạt động mà không làm suy giảm hiệu năng, trừ khi khởi động bật nguồn (khoảng cách hợp lý phải dựa trên tần suất yêu cầu các bit ngẫu nhiên).

8.8.3  Kiểm tra chất lượng đối với các thành phần tất định của bộ tạo bit ngẫu nhiên bất định

Mục tiêu của các kiểm tra này là để đảm bảo các thành phần tất định của bộ tạo bit ngẫu nhiên bất định tiếp tục xử lý chính xác bất kỳ tập đầu vào có thể. Vì theo định nghĩa, không thể dự đoán các thành phần này, phương pháp kiểm thử được chấp nhận là sử dụng kiểm tra với câu trả lời đã biết. Các phép kiểm thử như vậy phải khởi tạo thành phần hoặc hàm đến trạng thái khởi tạo cố định, nhập một đầu vào cố định vào hàm, sau đó so sánh kết quả đầu ra với đầu ra đúng được tính toán trước đó bằng việc thực thi hàm độc lập (ví dụ: mô phỏng máy tính kiểm tra được sử dụng trong quá trình phát triển bộ tạo bit ngẫu nhiên bất định) và được lưu trữ trong quá trình thực thi bộ tạo bit ngẫu nhiên bất định.

...

...

...

1. Kiểm tra với câu trả lời đã biết phải bao gồm các bài kiểm tra chất lượng tổng thể được thực hiện mỗi lần khởi động và/hoặc khởi động lại và theo yêu cầu. Kiểm tra với câu trả lời đã biết phải có trong các bài kiểm tra chất lượng tổng thể thực hiện theo các khoảng thời gian định kỳ.

2. Chuỗi so sánh (kết quả được so sánh với câu trả lời đã biết) được tạo ra cho mọi bài kiểm tra với câu trả lời đã biết phải đủ dài để xác suất vượt qua kiểm thử với các thành phần lỗi hoặc bị suy giảm chấp nhận được. Vì tổng kiểm tra 32 bit được sử dụng trong nhiều ứng dụng đảm bảo thông tin, nên 32 bit là chiều dài khuyến nghị cho các giá trị khi kiểm tra với câu trả lời đã biết.

3. Kiểm tra với câu trả lời đã biết phải có trong toàn bộ bộ tạo bit ngẫu nhiên bất định, không chỉ có trong từng thành phần của bộ tạo bit ngẫu nhiên bất định mà còn có trong tổng thể các thành phần điều khiển bộ tạo bit ngẫu nhiên bất định. Có thể thực hiện bằng cách thiết lập trạng thái bên trong thành một mẫu cố định, chặn dữ liệu của nguồn bất định và thay thế nguồn bất định bằng một chuỗi bit cố định và chạy bộ tạo bit ngẫu nhiên bất định ở chế độ hoạt động. Điều này sẽ tạo ra một dãy đầu ra có chiều dài xác định ít nhất bằng chiều dài được quy định tại điểm 2 ở trên. Đầu ra sau đó được so sánh với giá trị đã xác định trước có được qua việc thực thi hoặc mô phỏng độc lập.

4. Kiểm tra với câu trả lời đã biết phải thực hiện mỗi khía cạnh của hàm đang được kiểm thử. Điều này đòi hỏi mẫu đầu vào cố định phải đủ dài để cung cấp một mẫu đại diện các đầu vào có thể cho mỗi thành phần chức năng chính của hàm được kiểm thử.

5. Tất cả đầu ra từ bộ tạo bit ngẫu nhiên bất định phải bị chặn trong khi thực hiện kiểm tra với câu trả lời đã biết để che giấu thông tin về hoạt động của bộ tạo bit ngẫu nhiên bất định và ngăn chặn việc rò rỉ thông tin về những lỗi có thể có. Dữ liệu đã vượt qua thành công kiểm tra chất lượng với câu trả lời đã biết phải không được sử dụng làm đầu ra ngẫu nhiên sau khi hoàn thành tất cả kiểm tra chất lượng. Giá trị hiện tại của trạng thái bên trong bộ tạo bit ngẫu nhiên bất định sau khi hoàn thành thành công kiểm tra với câu trả lời đã biết sẽ không được sử dụng.

Kiểm tra với câu trả lời đã biết lên các thành phần tất định của bộ tạo bit ngẫu nhiên bất định có thể được loại bỏ để thực thi bộ tạo bit ngẫu nhiên bất định với hai quy trình dự phòng và độc lập (không phải là các nguồn bất định) mà đầu ra của nó được so sánh một cách liên tục. Trong trường hợp này, kết quả không phù hợp khi so sánh được xử lý là lỗi của kiểm tra chất lượng, chuyển sang trạng thái lỗi.

8.8.4  Kiểm tra chất lượng đối với nguồn bất định của bộ tạo bit ngẫu nhiên bất định

Mục tiêu của các kiểm tra này là để phát hiện sự thay đổi trong hoạt động của nguồn bất định từ hoạt động dự định. Vì nguồn bất định được giả định không tạo ra dữ liệu nhị phân độc lập và không chệch trong hầu hết các trường hợp, những bài kiểm tra ngẫu nhiên truyền thống (ví dụ: tần số đơn, chi bình phương và chạy kiểm thử để kiểm tra giả thuyết về các bit độc lập và không chệch) sẽ luôn thất bại, do đó không hữu dụng. Nói chung, các bài kiểm tra về nguồn bất định phải được điều chỉnh cẩn thận với nguồn bất định, có tính đến hoạt động thống kê có phân bố không đều của nguồn bất định hoạt động chính xác.

Đối với các nguồn bất định không xác định tuân theo mô hình thống kê rất phức tạp và đối với các nguồn bất định phi vật lý nói riêng, có thể không khả thi để phát triển kiểm tra thống kê tương ứng chính xác với mô hình thống kê của nguồn bất định. Trong những trường hợp này, cần xác định các kiểm tra đơn giản hơn thay vì xác định liệu thống kê được tính từ một mẫu dữ liệu có nằm trong phạm vi chấp nhận được hay không, xác định liệu mẫu dữ liệu có chứa bất kỳ sự xuất hiện của các giá trị được biết liên quan đến lỗi không. Lựa chọn các mẫu được sử dụng cho các kiểm tra như vậy phải tính đến lỗi của nguồn bất định.

...

...

...

1. Kiểm tra đối với nguồn bất định phải được bao gồm trong các bài kiểm tra chất lượng tổng thể được thực hiện mỗi lần khởi động và/hoặc khởi động lại theo khoảng thời gian định kỳ trong quá trình sử dụng và theo yêu cầu.

CHÚ THÍCH 1 Ví dụ, khoảng thời gian để kiểm tra nguồn bất định có thể được xác định bằng chính sách thực thi mô-đun.

2. Mỗi nguồn bất định tối thiểu phải được kiểm tra cho hoạt động. Nghĩa là kiểm tra phải thu thập một lượng dữ liệu từ nguồn và xác nhận rằng nó không chỉ bao gồm một đầu ra không đổi. (Các đầu ra không đổi thường là các giá trị chỉ gồm một giá trị duy nhất của đầu ra nguồn bất định được số hóa. Ví dụ: nếu nguồn đi-ốt nhiễu tạo ra giá trị 0110 mỗi lần lấy mẫu, nó sẽ bị lỗi trong bài kiểm tra hoạt động.) Kích thước của mẫu dữ liệu thu thập sẽ phụ thuộc vào các đặc tính của nguồn bất định và phải được chọn sao cho khi nguồn bất định đang hoạt động chính xác, xác suất không hoạt động trong một mẫu có kích thước đó phải thấp ở mức chấp nhận được. (10^-4 là giá trị được khuyến nghị cho tỷ lệ lỗi loại 1).

3. Kiểm tra được áp dụng cho từng nguồn bất định và phải được ghi dưới dạng văn bản đầy đủ về lý do chọn kiểm tra đó. Cơ bản phải chỉ ra lý do tại sao các bài kiểm tra được cho là có khả năng phát hiện lỗi trong nguồn bất định.

4. Nếu kiểm tra chất lượng đối với các thành phần tất định trả về kết quả lỗi, thì bộ tạo bit ngẫu nhiên bất định phải chuyển sang trạng thái lỗi và chỉ ra một điều kiện lỗi. Bộ tạo bit ngẫu nhiên bất định phải không thực hiện việc tạo đầu ra ngẫu nhiên trong khi ở trạng thái lỗi. Để thoát khỏi trạng thái lỗi, bộ tạo bit ngẫu nhiên bất định phải yêu cầu một số hình thức can thiệp, tốt nhất là sự can thiệp của người dùng (ví dụ: nạp điện hoặc khởi động lại) thì mới vượt qua được các bài kiểm tra chất lượng.

CHÚ THÍCH 2 Để khôi phục hoặc thoát khỏi trạng thái lỗi, bộ tạo bit ngẫu nhiên bất định sẽ được yêu cầu thực hiện theo các quy trình bảo trì.

Mặc dù là tùy chọn nhưng kiểm tra đối với nguồn bất định nên bao gồm các kiểm tra các đặc tính đã biết của nguồn bất định.

8.8.5  Kiểm tra chất lượng đối với đầu ra ngẫu nhiên của bộ tạo bit ngẫu nhiên bất định

Mục tiêu của các kiểm tra này là cung cấp kiểm tra cuối cùng về tính ngẫu nhiên của đầu ra từ bộ tạo bit ngẫu nhiên bất định. Nhìn chung, việc đưa kết quả của hàm chuyển đổi trạng thái bên trong và hàm tạo đầu ra vào các bài kiểm tra chất lượng đối với đầu ra ngẫu nhiên từ một bộ tạo bit ngẫu nhiên bất định đóng vai trò ít quan trọng hơn việc kiểm tra được áp dụng trực tiếp đối với đầu ra từ nguồn bất định không xác định. Những hàm này thường thực hiện việc trộn lẫn hoàn toàn thậm chí là một lỗi lớn của nguồn bất định cũng không gây ra các bất thường thống kê có thể phát hiện được trong đầu ra ngẫu nhiên của bộ tạo bit ngẫu nhiên bất định. Đây là hệ quả của yêu cầu bộ tạo bit ngẫu nhiên bất định phải tiếp tục hoạt động như một bộ tạo bit ngẫu nhiên tất định nếu các nguồn bất định bị lỗi hoặc chịu ảnh hưởng của kẻ tấn công. Tuy nhiên, kiểm tra thống kê đối với đầu ra ngẫu nhiên vẫn còn có tác dụng và có những yêu cầu dưới đây.

...

...

...

CHÚ THÍCH 1 Các yêu cầu chức năng chủ yếu liên quan đến kiểm tra thống kê. Như đã nêu ở trên, thông thường các bài kiểm tra thống kê không có hiệu quả trong việc xác nhận chất lượng của đầu ra ngẫu nhiên khi áp dụng quá trình xử lý sau mật mã mạnh.

1. Kiểm tra đầu ra ngẫu nhiên phải được bao gồm trong kiểm tra chất lượng tổng thể được thực hiện mỗi lần khởi động và/hoặc khởi động lại theo khoảng thời gian định kỳ trong quá trình sử dụng và theo yêu cầu của người dùng.

2. Bộ tạo bit ngẫu nhiên bất định phải được kiểm tra lỗi của một giá trị cố định bằng cách thực hiện kiểm tra trên mỗi khối đầu ra ngẫu nhiên được tạo ra bằng hàm tạo đầu ra. Xem 9.8.8 để có thông tin chi tiết cụ thể về kiểm tra bộ tạo bit ngẫu nhiên.

3. Nếu kiểm tra chất lượng đối với các thành phần tất định trả về kết quả lỗi, thì bộ tạo bit ngẫu nhiên bất định phải chuyển sang trạng thái lỗi và chỉ ra một điều kiện lỗi. Bộ tạo bit ngẫu nhiên bất định phải không thực hiện việc tạo đầu ra ngẫu nhiên trong khi ở trạng thái lỗi. Để thoát khỏi trạng thái lỗi, bộ tạo bit ngẫu nhiên bất định phải yêu cầu một số hình thức can thiệp, tốt nhất là sự can thiệp của người dùng (ví dụ: nạp điện hoặc khởi động lại) thì mới vượt qua được các bài kiểm tra chất lượng.

CHÚ THÍCH 2 Để khôi phục hoặc thoát khỏi trạng thái lỗi, bộ tạo bit ngẫu nhiên bất định sẽ được yêu cầu thực hiện theo các quy trình bảo trì.

Có thể tùy chọn bài kiểm tra chất lượng sau đây để thực hiện trên đầu ra ngẫu nhiên. Khi đề xuất này được chọn, bài kiểm tra chất lượng phải đáp ứng yêu cầu chức năng số 1 ở trên. Kiểm tra chất lượng bộ tạo bit ngẫu nhiên bất định tối thiểu phải bao gồm tập hợp các phép thử sau trên một chuỗi 20.000 bit đầu ra ngẫu nhiên từ bộ tạo bit ngẫu nhiên.

Tập hợp tổng thể các bài kiểm tra đối với bộ tạo bit ngẫu nhiên bất định được coi là vượt qua nếu vượt qua được tất cả bốn phép kiểm tra riêng lẻ. Các ngưỡng chỉ định bên dưới tương ứng với xác suất lỗi loại 1 là 10^-4.

CHÚ THÍCH 3 Bốn phép kiểm tra bắt nguồn từ FIPS 140-2 [9] và được điều chỉnh trong AIS-31 [5].

a. Kiểm tra tần số đơn:

...

...

...

b. Kiểm tra Poker:

Chia chuỗi thành 5000 đoạn liên tiếp gồm 4 bit. Đếm số lần xuất hiện của 16 giá trị 4 bit có thể. Cho f(i) là số lần xuất hiện của giá trị 4 bit i (sao cho 0 ≤ i ≤ 15). Tính X = f(i)² - 5000. Vượt qua phép kiểm tra nếu 2,16 ≤ X ≤ 46,17.

c. Kiểm tra loạt:

Một loạt được định nghĩa là một chuỗi dài nhất của các bit liên tiếp gồm tất cả các bit 1 hoặc tất cả các bit 0. Các lần xuất hiện của loạt gồm các bit 0 và bit 1 liên tiếp có độ dài từ 1 đến 6 được đếm và lưu trữ. Vượt qua phép kiểm tra nếu các số này đều nằm trong khoảng tương ứng được quy định trong Bảng 1 dưới đây. Điều này được áp dụng cho cả bit 0 và bit 1. Trong phép kiểm tra này, loạt có độ dài lớn hơn 6 được coi là có chiều dài 6 bit.

d. Kiểm tra loạt dài:

Một loạt dài được định nghĩa là một loạt có độ dài lớn hơn hoặc bằng 27 các bit 0 hoặc 1. Vượt qua phép kiểm tra nếu không tồn tại loạt dài.

CHÚ THÍCH 4 Lý do chọn phép kiểm tra loạt và loạt dài được quy định trong phụ lục J.

Bảng 1: Các khoảng kiểm tra loạt

Độ dài loạt

...

...

...

1

2315 - 2685

2

1114 - 1386

3

527 - 723

4

240 - 384

5

...

...

...

6⁺

103 - 209

Các kiểm tra bổ sung có thể được thực hiện đối với đầu ra ngẫu nhiên nếu:

1. Cần có sự đảm bảo chắc chắn hơn. Trong trường hợp này, các bài kiểm tra trong yêu cầu tùy chọn ở trên phải được tăng cường hoặc thay thế bằng các bài kiểm tra toàn diện hơn (cỡ mẫu hoặc các bài kiểm tra thống kê bổ sung có xác suất lỗi loại 1 nhỏ hơn hoặc bằng 10^-4); và/hoặc

2. Kiểm tra chất lượng đối với đầu ra ngẫu nhiên trả về kết quả lỗi; bộ tạo bit ngẫu nhiên bất định phải lặp lại kiểm tra thêm một số lần nữa, nhưng không vượt quá ba lần. Nếu đầu ra ngẫu nhiên vượt qua kiểm tra trong quá trình kiểm thử này, thì bộ tạo bit ngẫu nhiên bất định có thể tiếp tục hoạt động bình thường.

8.9  Sự tương tác giữa các thành phần trong bộ tạo bit ngẫu nhiên bất định

8.9.1  Giới thiệu về sự tương tác giữa các thành phần trong bộ tạo bit ngẫu nhiên bất định

Các thành phần trong bộ tạo bit ngẫu nhiên bất định được mô tả trong tiêu chuẩn này được thiết kế để đạt được các mục tiêu an toàn nhất định bằng cách đáp ứng các mục tiêu và yêu cầu cụ thể. Phần này trình bày một số yêu cầu bổ sung liên quan đến mối quan hệ giữa các thành phần.

8.9.2  Yêu cầu đối với sự tương tác giữa các thành phần trong bộ tạo bit ngẫu nhiên bất định

...

...

...

2. Quá trình xử lý đầu vào nguồn bất định và trạng thái bên trong (cả trạng thái làm việc và tham số bí mật) bằng hàm chuyển đổi trạng thái bên trong phải đảm bảo đầu vào nguồn bất định, trạng thái làm việc và tham số bí mật độc lập trong việc góp phần tạo độ bất định cho trạng thái làm việc sau mỗi lần thực hiện hàm chuyển đổi trạng thái bên trong, bất kể sự đóng góp độ bất định từ các nguồn khác nhau. Điều này đảm bảo tiêu chuẩn an toàn độc lập trong việc duy trì độ bất định trong bộ tạo bit ngẫu nhiên bất định.

8.9.3  Yêu cầu tùy chọn đối với sự tương tác giữa các thành phần trong bộ tạo bit ngẫu nhiên bất định

Các tính năng tùy chọn nhưng được khuyến nghị áp dụng cho sự tương tác giữa các thành phần trong bộ tạo bit ngẫu nhiên bất định như sau:

1. Các thành phần chức năng trong bộ tạo bit ngẫu nhiên bất định và sự tương tác giữa các thành phần này phải được thiết kế sao cho nếu nguồn bất định bị suy giảm hoàn toàn mà kiểm tra chất lượng không thể phát hiện được, thì các thành phần còn lại của bộ tạo bit ngẫu nhiên bất định phải tiếp tục hoạt động và tương tác như một bộ tạo bit ngẫu nhiên tất định. Để thực hiện điều này, có thể thiết kế bộ tạo bit ngẫu nhiên bất định như một bộ tạo bit ngẫu nhiên tất định sửa đổi để hoạt động trên đầu vào từ một hoặc nhiều nguồn bất định.

2. Bộ tạo bit ngẫu nhiên bất định phải được thiết kế sao cho trạng thái làm việc tiếp tục tích lũy ảnh hưởng từ các nguồn bất định ngay cả khi hàm tạo đầu ra không yêu cầu dữ liệu của trạng thái làm việc mới (có thể thực hiện dưới dạng quá trình nền khi bộ xử lý hoặc tài nguyên hệ thống có sẵn). Điều này được đặc biệt khuyến nghị nếu tồn tại những khoảng thời gian dài giữa những lần yêu cầu ứng dụng cho đầu ra ngẫu nhiên, trong đó trạng thái bên trong có thể dễ bị ảnh hưởng bởi sự quan sát do thời gian tăng lên (nếu thời gian không tăng lên thì sẽ không bị thay đổi).

9  Giới thiệu và yêu cầu đối với bộ tạo bit ngẫu nhiên tất định

9.1  Giới thiệu về bộ tạo bit ngẫu nhiên tất định

Bộ tạo bit ngẫu nhiên tất định sử dụng một thuật toán tất định đã được phê duyệt để tạo ra một chuỗi bit giả ngẫu nhiên từ một giá trị khởi tạo gọi là mầm, cùng với các đầu vào có thể khác. Do tính chất tất định của quá trình, bộ tạo bit ngẫu nhiên tất định được cho là tạo ra các bit “giả ngẫu nhiên” chứ không phải là các bit ngẫu nhiên, tức là xâu bit do bộ tạo bit ngẫu nhiên tất định tạo ra là dự đoán được và có thể xây dựng lại với kiến thức có được về thuật toán, mầm và thông tin đầu vào khác. Tuy nhiên, nếu đầu vào được giữ bí mật và thuật toán được thiết kế tốt, thì xâu bit sẽ là ngẫu nhiên.

Một bộ tạo bit ngẫu nhiên tất định được chia làm hai loại phụ thuộc vào đầu vào của nó. Mặc dù một bộ tạo bit ngẫu nhiên tất định phải lấy giá trị mầm làm nguồn bất định chính nhưng cũng có thể lấy các nguồn bất định bổ sung làm đầu vào. Nếu các nguồn bất định bổ sung này đều tất định (tức là các giá trị mầm) thì bộ tạo bit ngẫu nhiên tất định được gọi là bộ tạo bit ngẫu nhiên tất định thuần túy. Nếu ít nhất có một nguồn bất định là không xác định thì bộ tạo bit ngẫu nhiên tất định được gọi là bộ tạo bit ngẫu nhiên tất định lai ghép. Một bộ tạo bit ngẫu nhiên tất định lai ghép phải thỏa mãn tất cả các yêu cầu của một bộ tạo bit ngẫu nhiên tất định thuần túy cộng thêm thỏa mãn một số yêu cầu an toàn bổ sung được quy định trong 9.3.4.

...

...

...

Độ an toàn của bộ tạo bit ngẫu nhiên tất định chỉ phụ thuộc vào nguồn bất định chính, mặc dù các nguồn bất định khác có thể được sử dụng để tạo ra độ bất định bổ sung giúp duy trì tính không thể dự đoán trước của đầu ra ngay cả khi giá trị mầm chính bị ảnh hưởng. Do đó, mầm chính sẽ cung cấp đủ độ bất định để đảm bảo mức an toàn mong muốn bộ tạo bit ngẫu nhiên tất định đạt được.

Các giá trị mầm cho một bộ tạo bit ngẫu nhiên tất định yêu cầu được cung cấp bởi một nguồn đầu vào bất định (ví dụ: bộ tạo bit ngẫu nhiên bất định). Độ an toàn của việc thực thi sử dụng bộ tạo bit ngẫu nhiên tất định là một vấn đề khi thực thi hệ thống; cả bộ tạo bit ngẫu nhiên tất định và nguồn đầu vào bất định phải được xem xét kỹ lưỡng.

Theo mục tiêu của tiêu chuẩn này, một bộ tạo bit ngẫu nhiên tất định phải đáp ứng các yêu cầu quy định trong mục 5 và 6. Khi mục tiêu và yêu cầu duy nhất của bộ tạo bit ngẫu nhiên tất định vượt quá các quy định trong mục 5 và 6 thì được áp dụng đối với thiết kế của bộ tạo bit ngẫu nhiên tất định quy định chi tiết trong 9.3 - 9.9. Các ví dụ về bộ tạo bit ngẫu nhiên tất định có trong phụ lục C.

9.2  Mô hình chức năng của bộ tạo bit ngẫu nhiên tất định

Phần này sẽ giới thiệu bản đặc tả của các thành phần và mô hình chung cho một bộ tạo bit ngẫu nhiên tất định. Sẽ mô tả hoạt động chung của một bộ tạo bit ngẫu nhiên tất định, bao gồm các mục tiêu mà mỗi thành phần chức năng của bộ tạo bit ngẫu nhiên tất định dự kiến sẽ đạt được.

Hình 5 cung cấp một sơ đồ khối chức năng cho một bộ tạo bit ngẫu nhiên tất định đáp ứng tiêu chuẩn này. Cần lưu ý rằng các thành phần hiển thị không nhất thiết phải được thực thi như các chương trình riêng biệt nhưng phải thực thi chức năng. Mỗi thành phần cũng như mục tiêu và yêu cầu của các thành phần này giúp ngăn chặn những điểm yếu an toàn liên quan đến việc tạo bit ngẫu nhiên đã được biết đến trong các ứng dụng và môi trường mật mã. Nói chung, mỗi thành phần dưới đây sẽ được yêu cầu trong một bộ tạo bit ngẫu nhiên tất định. Trong một số ứng dụng, có thể lập luận rằng không có yêu cầu nào đối với một thành phần cố định. Nếu điều này được chứng minh và được ghi nhận, thì thành phần đó có thể loại bỏ khỏi bộ tạo bit ngẫu nhiên bất định, vì thành phần đó không có trong ứng dụng hoặc vì mục tiêu của thành phần đó đã được đáp ứng hoặc được giải quyết bằng các thành phần khác. Ví dụ: có hai tình huống phổ biến trong đó một bộ tạo bit ngẫu nhiên tất định muốn cập nhật giá trị mầm - do mầm được sử dụng “quá lâu” hoặc nghi ngờ rằng kẻ tấn công đã thực hiện một số kiểm soát nguy hại đối với trạng thái bên trong. Do đó, không cần thiết phải thay mầm mới nếu thiết bị ngừng hoạt động vì một số giới hạn (thời gian, số lần gọi...) và trạng thái bên trong được bảo vệ (ví dụ: bảo vệ bằng phần cứng).

Sau đây là tổng quan về cách thức các thành phần này tương tác để tạo ra đầu ra giả ngẫu nhiên. Mầm được cung cấp trực tiếp hoặc gián tiếp bởi một nguồn bất định không xác định.

Mầm được cung cấp trực tiếp bằng một trong hai cách sau. Cách đầu tiên là mầm được cung cấp trực tiếp nếu nó được tạo ra bởi một bộ tạo bit ngẫu nhiên bất định đáp ứng các yêu cầu của tiêu chuẩn này (tức là một bộ tạo bit ngẫu nhiên bất định được chấp nhận). Cách thứ hai là khi mầm được cung cấp bởi một nguồn bất định bên trong bộ tạo bit ngẫu nhiên tất định. Nguồn bất định như vậy phải được kiểm tra để đảm bảo rằng nó tạo ra đầu ra với tỷ lệ độ bất định đủ lớn tương tự như một bộ tạo bit ngẫu nhiên bất định.

Mầm được cung cấp gián tiếp nếu nó được tạo ra bởi một bộ tạo bit ngẫu nhiên tất định khác đáp ứng các yêu cầu của tiêu chuẩn này (tức là một bộ tạo bit ngẫu nhiên tất định được chấp nhận), giá trị trả về chính là mầm.

...

...

...

Sau khi bộ tạo bit ngẫu nhiên tất định được cung cấp một mầm khởi tạo và sẵn sàng làm việc, nó sẽ chuyển sang chế độ hoạt động và thực hiện hai việc: cập nhật trạng thái bên trong và tạo ra một khối dữ liệu ngẫu nhiên. Trạng thái bên trong được cập nhật bằng một hàm chuyển đổi trạng thái bên trong tất định, liên quan đến việc cập nhật trạng thái bên trong trong hình 5, lấy đầu vào là trạng thái bên trong hiện tại, đầu vào bổ sung được cung cấp bởi người dùng và đầu ra của nguồn bất định không xác định bất kỳ. Đặc biệt, nó sẽ không lấy mầm gốc làm đầu vào trừ khi mầm được giữ trong trạng thái bên trong cho mục đích này. Đầu ra của bộ tạo bit ngẫu nhiên tất định được tính bằng hàm tạo đầu ra tất định, lấy đầu vào là trạng thái bên trong hiện tại (vừa được cập nhật).

Trạng thái bên trong là sự kết hợp của một trạng thái làm việc được cập nhật liên tục và một loạt các tham số bí mật. Các tham số bí mật này thường điều khiển hoạt động của hàm chuyển đổi trạng thái bên trong và hàm tạo đầu ra theo cách thức tương tự như khóa mật mã (và chính là khóa mật mã). Việc kiểm soát các tham số bí mật này nằm ngoài phạm vi của tiêu chuẩn.

CHÚ THÍCH 1 Hướng dẫn quản lý khóa có trong ISO/IEC 11770. [6]

Thông thường, một bộ tạo bit ngẫu nhiên tất định cũng bao gồm một cơ chế cập nhật trạng thái bên trong khi một giá trị mầm mới được cung cấp. Quá trình cập nhật này phải được thực hiện bởi hàm chuyển đổi trạng thái bên trong chuyên biệt và được gọi là thay mầm mới. Trạng thái bên trong sau khi được thay mầm mới có thể hoặc không phụ thuộc vào trạng thái bên trong trước đó tùy thuộc vào phương pháp thay mềm mới nhưng có thể chỉ là xóa sạch trạng thái làm việc của bộ tạo bit ngẫu nhiên tất định và nạp mầm mới giống như hoạt động tạo mầm ban đầu.

Một bộ tạo bit ngẫu nhiên tất định an toàn phải bao gồm các cơ chế được thiết kế để tăng khả năng hoạt động an toàn liên tục trong trường hợp có lỗi hoặc bị ảnh hưởng. Khả năng lỗi trong việc thực hiện được giải quyết thông qua các bài kiểm tra chất lượng trên các thành phần khác nhau, chẳng hạn như kiểm tra với câu trả lời đã biết và kiểm tra đầu ra liên tục.

Mỗi bộ tạo bit ngẫu nhiên tất định được thiết kế để cung cấp tính an toàn về phía trước và phía sau khi quan sát từ bên ngoài ranh giới bộ tạo bit ngẫu nhiên tất định với điều kiện người quan sát không biết mầm hoặc giá trị trạng thái nào.

Khi quan sát từ bên trong ranh giới của bộ tạo bit ngẫu nhiên tất định, bộ tạo bit ngẫu nhiên tất định đó phải cung cấp tính an toàn về phía sau.

Đối với bộ tạo bit ngẫu nhiên tất định, tính an toàn về phía trước phụ thuộc vào việc sử dụng mầm bí mật và chèn thêm đầu vào trong mỗi quá trình tạo với độ bất định đủ lớn để đáp ứng yêu cầu an toàn. Tính an toàn về phía trước được cung cấp cho bộ tạo bit ngẫu nhiên tất định bằng cách bổ sung đầu vào của người dùng. Tuy nhiên, mức độ an toàn về phía trước phụ thuộc vào lượng độ bất định do người dùng nhập vào. Nếu đầu vào của người dùng cung cấp độ bất định ít nhất gấp đôi độ mạnh của bộ tạo bit ngẫu nhiên tất định cho mỗi yêu cầu các bit giả ngẫu nhiên, thì sẽ đảm bảo tính an toàn về phía trước.

CHÚ THÍCH 2 Ví dụ, nếu một bộ tạo bit ngẫu nhiên tất định cung cấp độ an toàn 128 bit, thì để đảm bảo tính an toàn về phía trước cần cả mầm và từng đầu vào bổ sung phải có ít nhất 128 bit bất định.

...

...

...

Đối với tính an toàn về phía sau, một bộ tạo bit ngẫu nhiên tất định thực thi đúng được khởi tạo với một mầm bí mật. Mầm được sử dụng để xác định trạng thái khởi tạo của bộ tạo bit ngẫu nhiên tất định. Đầu ra là một số hàm của trạng thái bên trong và trạng thái bên trong được cập nhật mỗi lần yêu cầu bit. Nếu mầm hoặc trạng thái nào đó bị lộ, các đầu ra trước đó có thể được xác định trừ khi hàm một chiều mật mã mạnh được sử dụng trong thiết kế của bộ tạo bit ngẫu nhiên tất định để chuyển từ trạng thái bên trong sao trạng thái bên trong tiếp theo.

Hình 5: Mô hình bộ tạo bit ngẫu nhiên tất định

9.3  Nguồn bất định của bộ tạo bit ngẫu nhiên tất định

9.3.1  Nguồn bất định chính của bộ tạo bit ngẫu nhiên tất định

Nguồn bất định chính của bộ tạo bit ngẫu nhiên tất định là một giá trị mầm. Giá trị mầm này được lấy từ nguồn bất định với tốc độ đầu ra bất định cho trước giống bộ tạo bit ngẫu nhiên bất định và được nhập vào bộ tạo bit ngẫu nhiên tất định trước khi yêu cầu các bit giả ngẫu nhiên từ bộ tạo bit ngẫu nhiên tất định. Thông tin chi tiết về các yêu cầu đối với nguồn giá trị mầm có trong 9.3.2.

Mầm, kích thước của mầm và độ bất định của mầm (nghĩa là tính ngẫu nhiên) phải được lựa chọn để tối thiểu xác suất chuỗi tạo ra bằng một giá trị mầm giống với chuỗi được tạo ra bằng mầm khác, và làm giảm xác suất mầm được đoán hoặc vét cạn. Vì tiêu chuẩn này không yêu cầu độ bất định đủ lớn cho mầm nhưng yêu cầu phải có độ bất định đủ lớn, độ dài của mầm lớn hơn độ an toàn được quy định nhằm đáp ứng độ bất định cần thiết. Tức là độ dài của mầm tối thiểu phải bằng số bit trong độ an toàn được quy định, tuy nhiên độ dài mầm phải lớn hơn mức tối thiểu để tăng độ tin cậy của độ bất định và việc tái sử dụng mầm. Việc sử dụng độ dài mầm nhỏ nhất chỉ được chấp nhận nếu mầm được tạo ra bởi một nguồn bất định đầy đủ, chẳng hạn như một bộ tạo bit ngẫu nhiên bất định hoặc bộ tạo bit ngẫu nhiên tất định có mầm được cung cấp bởi bộ tạo bit ngẫu nhiên bất định. Nhìn chung mầm có thể có kích thước khác nhau, nhưng đặc tả về các thuật toán bộ tạo bit ngẫu nhiên tất định phải có giả định này cho dù quá trình thực thi cụ thể có thể được tối ưu hóa để hỗ trợ mầm có độ dài nhất định.

Phân tích độ bất định của mầm là một thành phần quan trọng đối với việc đảm bảo an toàn cho bộ tạo bit ngẫu nhiên tất định. Tầm quan trọng của việc phân tích độ bất định được thể hiện rõ nhất khi xảy ra lỗi. Ví dụ: nếu độ an toàn mong muốn là 80 bit và được cho là đạt được, nhưng thực sự chỉ đạt được 40 bit, lượng độ bất định này đã bị tiêu hao khá nhanh chóng. Ngay cả khi độ bất định thực tế là 60 bit, thì kẻ tấn công chủ động vẫn có thể làm tiêu hao độ bất định với chi phí hợp lý.

Việc tạo ra hoặc nhập độ bất định vào trong bộ tạo bit ngẫu nhiên tất định sử dụng một phương pháp không an toàn có thể làm mất đi các bảo đảm dự kiến. Để đảm bảo tính không thể dự đoán trước, cần phải thực hiện việc thu thập và xử lý mầm. Mầm và việc sử dụng nó trong bộ tạo bit ngẫu nhiên tất định được tạo ra và xử lý như sau.

...

...

...

2. Sử dụng mầm: Bộ tạo bit ngẫu nhiên tất định có thể được sử dụng để tạo ra cả thông tin bí mật và công khai. Trong cả hai trường hợp, mầm phải được giữ bí mật. Không nên sử dụng quá trình khởi tạo đơn của bộ tạo bit ngẫu nhiên tất định để tạo ra cả giá trị bí mật và công khai. Yếu tố chi phí và rủi ro phải được tính đến khi xác định có thể đưa ra các giả thuyết khác nhau về giá trị bí mật và công khai hay không.

CHÚ THÍCH 1 Nếu bộ tạo bit ngẫu nhiên tất định đảm bảo tính an toàn về phía trước và phía sau và nếu quá trình thực thi chống lại được tấn công kênh kề, có thể bỏ qua tính năng an toàn này để không sử dụng quá trình khởi tạo đơn của bộ tạo bit ngẫu nhiên tất định nhằm tạo ra cả giá trị bí mật và công khai mà không làm mất đi độ an toàn.

Mầm được sử dụng để khởi tạo trong quá trình khởi tạo bộ tạo bit ngẫu nhiên tất định sẽ không được sử dụng để thay mầm mới cho cùng một quá trình khởi tạo hoặc sử dụng làm mầm cho bộ tạo bit ngẫu nhiên tất định khác.

3. Độ bất định của mầm: Đầu vào bất định của mầm phải chứa độ bất định đầy đủ cho mức an toàn mong muốn và độ bất định phải được phân bố trên toàn mầm. Ứng dụng có thể hoặc không quan tâm đến tính chống va chạm. Để đáp ứng tính chống va chạm, mầm phải có độ bất định lớn hơn hoặc bằng 120 bit hoặc độ an toàn cần thiết cho ứng dụng (tức là độ bất định ≥ max (120, security_strength)). Nếu bộ tạo bit ngẫu nhiên tất định đã chọn và mầm không thể cung cấp độ an toàn như yêu cầu của ứng dụng thì phải sử dụng một bộ tạo bit ngẫu nhiên tất định khác.

4. Kích thước mầm: Kích thước tối thiểu của mầm phụ thuộc vào bộ tạo bit ngẫu nhiên tất định được chọn, độ an toàn mà ứng dụng yêu cầu và nguồn bất định. Kích thước mầm tối thiểu phải lớn hơn hoặc bằng độ an toàn yêu cầu tính bằng bit, tùy thuộc vào tỷ lệ độ bất định và sự đảm bảo nguồn bất định (xem thảo luận ở trên). Ví dụ: nếu cần 160 bit bất định, thì nguồn bất định cần mầm có kích thước 240 bit trở lên để đạt được 160 bit bất định.

5. Tính bí mật của mầm: Mầm được xử lý theo cách phù hợp với yêu cầu an toàn đối với dữ liệu mục tiêu. Ví dụ: nếu bí mật duy nhất trong hệ mật là khóa, thì mầm được sử dụng để tạo khóa cũng được coi là khóa.

6. Chu kỳ sử dụng mầm: Mầm của bộ tạo bit ngẫu nhiên tất định có thời hạn sử dụng nhất định, sau đó sẽ không còn sử dụng được nữa. Mỗi mầm sẽ có một vòng đời hữu hạn nhất định. Mầm phải được cập nhật định kỳ hoặc bị thay thế sau khi hết vòng đời của nó. Nếu biết được giá trị mầm (nghĩa là mầm bị tổn thương), các thực thể trái phép có thể xác định được đầu ra của bộ tạo bit ngẫu nhiên tất định. Thời gian sử dụng có thể tính bằng khoảng thời gian hoặc số lượng tối đa đầu ra được tạo ra bởi mầm đó.

Trong một số ứng dụng (ví dụ: smartcard), không thể thực hiện quá trình thay mầm mới vì quá trình này có thể làm giảm độ an toàn. Trong những trường hợp như vậy, biện pháp tốt nhất là thay thế bộ tạo bit ngẫu nhiên tất định, do đó có được một mầm mới (ví dụ: sử dụng thẻ smartcard mới). Trong các ứng dụng khác, thay mầm mới lại là lựa chọn thiết kế phù hợp. Thay mầm mới (tức là thay thế một mầm bằng mầm mới) là phương pháp khôi phục tính bí mật của đầu ra bộ tạo bit ngẫu nhiên tất định nếu kẻ tấn công biết được giá trị mầm. Thay mầm mới định kỳ là biện pháp đối phó tốt với mối đe dọa tiềm ẩn là mầm và đầu ra bộ tạo bit ngẫu nhiên tất định bị tổn hại. Tuy nhiên, kết quả từ việc thay mầm mới chỉ giống như bộ tạo bit ngẫu nhiên bất định được sử dụng để cung cấp mầm mới (hoặc một chuỗi bộ tạo bit ngẫu nhiên tất định được khởi tạo bởi một bộ tạo bit ngẫu nhiên bất định). Việc tạo ra quá nhiều đầu ra từ một mầm (và thông tin đầu vào khác) cung cấp thông tin quan trọng giúp dự đoán thành công đầu ra sắp tới. Thay mầm mới định kỳ sẽ giảm rủi ro về an toàn, giảm khả năng thỏa hiệp dữ liệu mục tiêu được bảo vệ bởi các cơ chế mã hóa sử dụng bộ tạo bit ngẫu nhiên tất định.

Việc thay mầm mới cho bộ tạo bit ngẫu nhiên tất định phải được thực hiện theo quy định đối với bộ tạo bit ngẫu nhiên tất định cụ thể. Khi có được mầm mới trong quá trình thay mầm, mầm mới đó phải được kiểm tra để đảm bảo rằng hai mầm liên tiếp không giống nhau. Hơn một mầm không được lưu trong bộ tạo bit ngẫu nhiên tất định. Một mầm không được lưu ở dạng ban đầu, nhưng được chuyển đổi bằng quy trình một chiều. Khi mầm mới được tạo ra và so sánh với mầm “cũ” (tức là mầm cũ đã được chuyển đổi), mầm mới phải thay thế cho mầm cũ trong bộ nhớ. Mầm cũ sẽ bị hủy. Nếu mầm mới được xác định là giống hệt mầm cũ, thì phải tạo ra một mầm mới khác.

...

...

...

CHÚ THÍCH 2 Nếu bộ tạo bit ngẫu nhiên tất định đảm bảo tính an toàn về phía trước và phía sau và nếu việc thực thi chống lại được tấn công kênh kề, có thể sử dụng số ngẫu nhiên được tạo bởi một trường hợp của bộ tạo bit ngẫu nhiên tất định cho các loại dữ liệu ngẫu nhiên khác nhau mà không làm giảm độ an toàn.

9.3.2  Tạo giá trị mầm cho bộ tạo bit ngẫu nhiên tất định

Giá trị mầm cho một bộ tạo bit ngẫu nhiên tất định được chấp nhận phải được tạo ra bằng một trong ba cách sau:

1. Mầm được tạo ra bằng một bộ tạo bit ngẫu nhiên bất định được chấp nhận để tạo ra đầu ra với tỷ lệ bất định đủ lớn.

2. Mầm được tạo ra bằng một bộ tạo bit ngẫu nhiên tất định được chấp nhận để tạo ra đầu ra với tỷ lệ bất định đủ lớn. Bộ tạo bit ngẫu nhiên tất định này cũng phải có mầm được tạo ra theo các yêu cầu về tạo mầm. Do đó, một chuỗi các bộ tạo bit ngẫu nhiên tất định có thể được dự kiến tạo ra mầm cho bộ tạo bit ngẫu nhiên tất định kế tiếp. Tuy nhiên, chuỗi này luôn bắt đầu bằng một bộ tạo bit ngẫu nhiên bất định được chấp nhận hoặc một bộ tạo bit ngẫu nhiên tất định được chấp nhận để tạo ra các giá trị mầm. Nói cách khác, nếu mầm được tạo ra bởi một bộ tạo bit ngẫu nhiên tất định hoặc một chuỗi các bộ tạo bit ngẫu nhiên tất định được chấp nhận, thì bộ tạo bit ngẫu nhiên tất định cấp cao nhất phải lấy mầm từ một bộ tạo bit ngẫu nhiên bất định hoặc một bộ tạo bit ngẫu nhiên tất định bên trong có bộ tạo bit ngẫu nhiên bất định.

3. Mầm được tạo bởi một nguồn bất định thích hợp. Nguồn này có thể bị chệch và/hoặc tạo ra các bit khác nhau. Nếu giá trị mầm được tạo ra theo cách này thì nhà phát triển phải đánh giá tỷ lệ độ bất định được tạo ra từ nguồn và đảm bảo rằng nguồn đáp ứng tất cả các yêu cầu đối với nguồn bất định có trong 6.2.2, 8.3 và 8.8.4.

9.3.3  Nguồn bất định bổ sung cho bộ tạo bit ngẫu nhiên tất định

Hoạt động của bộ tạo bit ngẫu nhiên tất định cũng bao gồm một hoặc nhiều nguồn bất định bổ sung. Một nguồn bất định bổ sung có thể hữu ích vì nhiều lý do.

Một bộ tạo bit ngẫu nhiên tất định có thể có một nguồn bất định bổ sung là nguồn bất định xác định hoặc nguồn bất định không xác định. Một bộ tạo bit ngẫu nhiên tất định có nguồn bất định không xác định được gọi là bộ tạo bit ngẫu nhiên tất định lai ghép. Các bộ tạo bit ngẫu nhiên tất định lai ghép được thảo luận trong 9.3.4.

...

...

...

Ưu điểm của việc sử dụng một nguồn bất định không xác định làm nguồn bất định bổ sung là cho phép đầu ra của bộ tạo bit ngẫu nhiên tất định trở nên bất định và giúp ngăn chặn phân tích mã và/hoặc thêm các tính năng an toàn như tính an toàn về phía trước và phía sau.

9.3.4  Bộ tạo bit ngẫu nhiên tất định lai ghép

Một bộ tạo bit ngẫu nhiên tất định được gọi là bộ tạo bit ngẫu nhiên tất định lai ghép nếu nó lấy nguồn bất định không xác định làm đầu vào bổ sung; ngược lại được gọi là bộ tạo bit ngẫu nhiên tất định thuần túy.

Các yêu cầu chức năng bổ sung đối với một bộ tạo bit ngẫu nhiên tất định lai ghép như sau:

1. Kẻ tấn công không thể đoán được bit tiếp theo với xác suất lớn hơn đáng kể 1/2, ngay cả khi kẻ tấn công hoàn toàn điều khiển đầu ra của nguồn bất định không xác định.

2. Không kẻ tấn công nào có thể khôi phục lại bất cứ thông tin gì về nguồn bất định không xác định bằng cách quan sát đầu ra của bộ tạo bit ngẫu nhiên.

3. Không người nào không có thẩm quyền có thể thao tác hoặc làm ảnh hưởng đến nguồn bất định không xác định.

9.4  Đầu vào bổ sung của bộ tạo bit ngẫu nhiên tất định

Hoạt động của bộ tạo bit ngẫu nhiên tất định bao gồm các đầu vào bổ sung tùy chọn. Bộ tạo bit ngẫu nhiên tất định có thể yêu cầu thông tin về đầu vào bổ sung trong quá trình khởi tạo và tạo bit. Thông tin này bao gồm các tham số đầu vào khi ứng dụng gọi bộ tạo bit ngẫu nhiên tất định và đầu vào bổ sung có thể công khai. Các đầu vào bổ sung không làm yếu bộ tạo bit ngẫu nhiên.

...

...

...

Bộ tạo bit ngẫu nhiên tất định trong tiêu chuẩn này cho phép sử dụng một chuỗi thông tin cá nhân tùy chọn trong quá trình khởi tạo. Chuỗi thông tin cá nhân được sử dụng kết hợp với các bit bất định để tạo ra mầm. Ví dụ về dữ liệu có thể bao gồm trong chuỗi cá nhân bao gồm số sản phẩm và thiết bị, định danh người dùng, ngày và tem thời gian, địa chỉ IP hoặc bất cứ thông tin nào khác giúp phân biệt bộ tạo bit ngẫu nhiên tất định.

Các yêu cầu chức năng đối với đầu vào bổ sung như sau:

1. Khi bộ đếm được sử dụng trong bộ tạo bit ngẫu nhiên tất định thì nó không được lặp lại trong “trường hợp” của bộ tạo bit ngẫu nhiên tất định. Khi bộ tạo bit ngẫu nhiên tất định được khởi tạo với mầm mới, bộ đếm được thiết lập với một giá trị cố định (ví dụ: đặt thành 1), nhưng phải được cập nhật cho mỗi trạng thái của bộ tạo bit ngẫu nhiên tất định và không được lặp lại.

2. Khi giá trị ngày/giờ được sử dụng trong bộ tạo bit ngẫu nhiên tất định thì không được lặp lại. Bất cứ khi nào giá trị ngày/giờ được yêu cầu bởi bộ tạo bit ngẫu nhiên tất định, thì hoặc sử dụng một giá trị ngày/giờ khác với lần sử dụng trước đó, hoặc kỹ thuật khác phải bổ sung giá trị ngày/giờ để đảm bảo tính duy nhất (ví dụ: bộ đếm nối giá trị ngày/giờ).

3. Khi chuỗi thông tin cá nhân được sử dụng, nó phải là duy nhất cho tất cả các quá trình khởi tạo của cùng một loại bộ tạo bit ngẫu nhiên tất định.

4. Bộ tạo bit ngẫu nhiên tất định phải vẫn an toàn ngay cả khi kẻ tấn công có quyền điều khiển hoàn toàn đầu vào bổ sung của bộ tạo, tức là ngay cả khi kẻ tấn công có thể lựa chọn các giá trị của đầu vào bổ sung, thì vẫn không thể dự đoán được bit tiếp theo do bộ tạo bit ngẫu nhiên tạo ra với xác suất lớn hơn đáng kể 1/2.

5. Phải đảm bảo rằng hàm chuyển đổi trạng thái bên trong cập nhật trạng thái bên trong có thuộc tính là kích thước giới hạn của nó không bị giảm đi sau những lần gọi lặp lại mà không thay mầm mới, vì điều này sẽ làm cạn kiệt độ bất định của trạng thái bên trong.

9.5  Trạng thái bên trong của bộ tạo bit ngẫu nhiên tất định

Trạng thái bên trong là bộ nhớ của bộ tạo bit ngẫu nhiên tất định và bao gồm tất cả các tham số, biến và các giá trị lưu trữ khác mà bộ tạo bit ngẫu nhiên tất định sử dụng. Trạng thái bên trong bao gồm các giá trị được thực hiện bởi hàm chuyển đổi trạng thái bên trong giữa các yêu cầu, khóa được sử dụng trong mỗi lần gọi, đầu vào của người dùng được thu thập khi yêu cầu được xử lý và các tham số biến thời gian được bộ tạo bit ngẫu nhiên tất định sử dụng. Trạng thái bên trong phụ thuộc vào bộ tạo bit ngẫu nhiên tất định cụ thể và bao gồm tất cả các thông tin được yêu cầu để tạo ra các bit giả ngẫu nhiên cho các lần yêu cầu liên tiếp. Một số phần của trạng thái bên trong được thay đổi bởi hàm chuyển đổi trạng thái bên trong trong mỗi vòng lặp của bộ tạo bit ngẫu nhiên tất định.

...

...

...

Các yêu cầu chức năng đối với trạng thái bên trong như sau:

1. Bộ tạo bit ngẫu nhiên tất định phải được khởi tạo trước khi tạo ra đầu ra. Trong quá trình khởi tạo, trạng thái khởi tạo được thiết lập cho bộ tạo bit ngẫu nhiên tất định, một phần từ mầm. Quá trình khởi tạo của bộ tạo bit ngẫu nhiên tất định có thể được thay mầm mới bất cứ lúc nào. Trạng thái của bộ tạo bit ngẫu nhiên tất định bao gồm thông tin được thực hiện và khóa (tùy chọn) được sử dụng bởi bộ tạo.

2. Trạng thái bên trong phải nằm hoàn toàn trong ranh giới của bộ tạo bit ngẫu nhiên tất định.

3. Trạng thái bên trong phải được bảo vệ ít nhất cũng như việc sử dụng đầu ra dự định của các ứng dụng.

4. Trong trường hợp có các giá trị không nên sử dụng làm tham số bí mật (ví dụ: khóa mật mã “yếu”) thì tham số bí mật phải được kiểm tra để đảm bảo rằng các giá trị tham số bí mật này không được sử dụng.

5. Tham số bí mật nếu tồn tại thì phải được thay thế định kỳ.

9.6  Hàm chuyển đổi trạng thái bên trong của bộ tạo bit ngẫu nhiên tất định

Hàm chuyển đổi trạng thái bên trong sử dụng trạng thái bên trong và một hoặc nhiều thuật toán để tạo ra các bit giả ngẫu nhiên. Trong quá trình này, trạng thái bên trong của bộ tạo bit ngẫu nhiên tất định bị xóa. Thuật toán sử dụng và phương pháp xóa trạng thái bên trong phụ thuộc vào bộ tạo bit ngẫu nhiên tất định cụ thể.

Bộ tạo bit ngẫu nhiên tất định trong tiêu chuẩn này có ba hàm chuyển đổi trạng thái bên trong riêng biệt, cụ thể là:

...

...

...

2. Mỗi yêu cầu bit giả ngẫu nhiên tạo ra các bit theo yêu cầu sử dụng trạng thái bên trong hiện tại và xác định trạng thái bên trong mới được sử dụng cho yêu cầu tiếp theo; và

3. Khi ứng dụng xác định thay mầm mới cho bộ tạo bit ngẫu nhiên tất định, hàm thay mầm mới thu thập nguyên liệu tạo mầm mới, kết hợp nó với các giá trị trạng thái bên trong hiện tại và xác định trạng thái bên trong mới cho lần yêu cầu bit giả ngẫu nhiên tiếp theo. Bằng cách kết hợp nguyên liệu tạo mầm mới với trạng thái bên trong hiện tại, độ bất định có sẵn từ trạng thái hiện tại không mất đi mà được tăng thêm bởi độ bất định của nguyên liệu tạo mầm mới.

Các yêu cầu chức năng đối với hàm chuyển đổi trạng thái bên trong như sau:

a. Bộ tạo bit ngẫu nhiên tất định phải chuyển đổi giữa các trạng thái theo yêu cầu (tức là khi bộ tạo được yêu cầu cung cấp các bit giả ngẫu nhiên mới). Bộ tạo bit ngẫu nhiên tất định cũng có thể được thực thi để chuyển đổi nhằm đối phó với các sự kiện bên ngoài (ví dụ: gián đoạn hệ thống) hoặc chuyển tiếp liên tục (ví dụ: bất cứ khi nào có thời gian để chạy bộ tạo). Tính không thể dự đoán có được khi bộ tạo chuyển tiếp giữa các trạng thái liên tục hoặc để xử lý với sự kiện bên ngoài. Tuy nhiên, khi bộ tạo bit ngẫu nhiên tất định chuyển từ trạng thái này sang trạng thái khác giữa những lần yêu cầu, việc thay mầm mới và/hoặc thay khóa cần được thực hiện thường xuyên hơn.

b. Hàm chuyển đổi trạng thái bên trong đạt được tính an toàn về phía sau bằng việc sử dụng hiệu quả hàm một chiều, chẳng hạn như hàm băm mật mã.

c. Hàm chuyển đổi trạng thái bên trong có đặc tính là tất cả các bit trong trạng thái làm việc (và đầu vào nguồn bất định không xác định nếu có) ảnh hưởng đến các bit đầu ra của hàm chuyển đổi trạng thái bên trong.

d. Hoạt động của hàm chuyển đổi trạng thái bên trong phải được bảo vệ chống lại quan sát và phân tích như tiêu thụ điện năng, thời gian, phân rã phóng xạ hoặc các tấn công kênh kề khác. Các giá trị mà hàm chuyển đổi trạng thái bên trong làm việc (trạng thái bên trong, tham số bí mật và đầu vào nguồn bất định) là những giá trị quan trọng đảm bảo tính bí mật cho đầu ra ngẫu nhiên sắp tới. Tấn công kênh kề có thể phá vỡ tính bí mật này.

e. Phải đảm bảo rằng hàm chuyển đổi trạng thái bên trong cập nhật trạng thái bên trong có đặc tính là kích thước giới hạn của nó không bị suy giảm sau khi lặp đi lặp lại nhiều lần gọi mà không cần thay mầm mới vì điều này sẽ làm mất đi độ bất định của trạng thái bên trong.

9.7  Hàm tạo đầu ra của bộ tạo bit ngẫu nhiên tất định

...

...

...

Các yêu cầu chức năng đối với hàm tạo đầu ra như sau:

1. Hàm tạo đầu ra cho phép kiểm tra với câu trả lời đã biết khi được yêu cầu.

2. Bộ tạo bit ngẫu nhiên tất định không tạo đầu ra cho đến khi có sẵn mầm với độ bất định đầy đủ.

3. Bộ tạo bit ngẫu nhiên tất định yêu cầu khóa không tạo đầu ra cho đến khi có khóa.

4. Hàm tạo đầu ra không làm rò rỉ thông tin về trạng thái bên trong có thể làm ảnh hưởng đến đầu ra sắp tới. Hàm tạo đầu ra phải không có hàm ngược để tiết lộ thông tin gì về trạng thái bên trong. Nghĩa là thông tin về đầu ra ngẫu nhiên được tạo ra bởi hàm tạo đầu ra không được tiết lộ thông tin gì về đầu vào của hàm.

9.8  Hàm hỗ trợ của bộ tạo bit ngẫu nhiên tất định

9.8.1  Giới thiệu về các hàm hỗ trợ của bộ tạo bit ngẫu nhiên tất định

Mặc dù không thể hiện trong hình 5, bộ tạo bit ngẫu nhiên tất định phải có các cơ chế để đo chất lượng.

Bộ tạo bit ngẫu nhiên tất định phải được thiết kế để cho phép kiểm tra đảm bảo bộ tạo được thực thi đúng và tiếp tục hoạt động chính xác. Hàm kiểm tra phải sẵn sàng cho mục đích này. Hàm kiểm tra cũng cho phép chèn các giá trị xác định trước của thông tin đầu vào để kiểm tra các kết quả mong đợi (kiểm tra với câu trả lời đã biết). Nếu kiểm tra bị lỗi, bộ tạo bit ngẫu nhiên tất định phải chuyển sang trạng thái lỗi và đưa ra cảnh báo lỗi. Bộ tạo bit ngẫu nhiên tất định sẽ không thực hiện hoạt động nào khi ở trạng thái lỗi và tất cả đầu ra bị chặn lại.

...

...

...

9.8.2  Kiểm tra chất lượng bộ tạo bit ngẫu nhiên tất định

Bộ tạo bit ngẫu nhiên tất định phải thực hiện kiểm tra chất lượng để đảm bảo rằng nó vẫn tiếp tục hoạt động bình thường. Kiểm tra chất lượng đối với chức năng của bộ tạo bit ngẫu nhiên phải được thực hiện khi bộ tạo bit ngẫu nhiên tất định được bật lên, theo yêu cầu (ví dụ: theo yêu cầu của ứng dụng, hoặc khi cài đặt lại, khởi động lại hoặc sạc điện) và trong các điều kiện khác nhau, điển hình là khi thực hiện hàm hoặc thao tác cụ thể (nghĩa là kiểm tra có điều kiện). Một số kiểm tra chất lượng cũng có thể được tiến hành liên tục. Bộ tạo bit ngẫu nhiên có thể thực hiện tùy ý các kiểm tra chất lượng khác đối với chức năng của bộ tạo bit ngẫu nhiên tất định bên cạnh các bài kiểm tra được quy định trong tiêu chuẩn này.

Tất cả đầu ra dữ liệu từ bộ tạo bit ngẫu nhiên tất định sẽ bị chặn lại khi thực hiện các bài kiểm tra này. Kết quả từ kiểm tra với câu trả lời đã biết không tạo ra các bit ngẫu nhiên. Tuy nhiên, các bit được sử dụng trong các loại kiểm tra khác được sử dụng như đầu ra nếu bài kiểm tra đó thành công.

Khi bộ tạo bit ngẫu nhiên tất định không vượt qua kiểm tra chất lượng, nó sẽ chuyển sang trạng thái lỗi và xuất ra một cảnh báo lỗi. Bộ tạo bit ngẫu nhiên tất định phải không thực hiện bất cứ hoạt động nào khi trong trạng thái lỗi và không dữ liệu nào được xuất ra khi vẫn tồn tại trạng thái lỗi. Khi trong trạng thái lỗi, sự can thiệp của người dùng (ví dụ: sạc điện, khởi động lại bộ tạo bit ngẫu nhiên tất định) sẽ được yêu cầu để thoát khỏi trạng thái lỗi.

9.8.3  Kiểm tra thuật toán tất định của bộ tạo bit ngẫu nhiên tất định

Kiểm tra này phải được thực hiện đối với thuật toán của bộ tạo bit ngẫu nhiên tất định. Kiểm tra với câu trả lời đã biết sẽ được tiến hành khi bật nguồn, khi có yêu cầu và có thể được tiến hành định kỳ. Kiểm tra với câu trả lời đã biết bao gồm việc vận hành thuật toán trên dữ liệu mà đầu ra chính xác đã biết và kiểm tra xem đầu ra được tính toán có bằng với đầu ra mong đợi (câu trả lời đã biết) hay không. Kiểm tra thất bại nếu đầu ra được tính toán không bằng với câu trả lời đã biết. Trong trường hợp này, bộ tạo bit ngẫu nhiên tất định phải chuyển sang trạng thái lỗi và xuất ra một cảnh báo lỗi.

9.8.4  Kiểm tra tính toàn vẹn phần mềm/phần sụn của bộ tạo bit ngẫu nhiên tất định

Kiểm tra này được áp dụng cho bộ tạo bit ngẫu nhiên tất định có chứa phần mềm hoặc phần sụn. Kiểm tra tính toàn vẹn phần mềm/phần sụn bằng kỹ thuật xác thực được áp dụng cho mọi phần mềm và phần sụn nằm trong bộ tạo bit ngẫu nhiên tất định khi bộ tạo bit ngẫu nhiên tất định được bật nguồn để xác định tính toàn vẹn của mã. Các kỹ thuật xác thực bao gồm mã xác thực thông báo hoặc chữ ký số bằng các thuật toán đã biết, hoặc mã phát hiện lỗi (EDC) khi thực thi mã nằm trong ranh giới mật mã. Kiểm tra này thất bại nếu kết quả tính toán không bằng kết quả được tạo ra trước đó. Trong trường hợp này, bộ tạo bit ngẫu nhiên tất định phải chuyển sang trạng thái lỗi và xuất ra một cảnh báo lỗi.

9.8.5  Kiểm tra các hàm quan trọng của bộ tạo bit ngẫu nhiên tất định

...

...

...

9.8.6  Kiểm tra độ chịu tải phần mềm/phần sụn của bộ tạo bit ngẫu nhiên tất định

Kiểm tra này được thực hiện với các bộ tạo bit ngẫu nhiên tất định chứa phần mềm hoặc phần sụn. Cơ chế mật mã sử dụng kỹ thuật xác thực được chấp nhận (ví dụ: mã xác thực, thuật toán chữ ký số, hoặc HMAC) được áp dụng cho mọi phần mềm và phần sụn (ví dụ: EEPROM, RAM và mạch FPGA) được tải từ bên ngoài vào bộ tạo bit ngẫu nhiên tất định. Kiểm tra này phải xác nhận mã xác thực hoặc chữ ký số. Kết quả tính toán được so sánh với kết quả được tạo ra trước đó. Kiểm tra thất bại nếu hai kết quả này không giống nhau. Trong trường hợp này, bộ tạo bit ngẫu nhiên tất định chuyển sang trạng thái lỗi và xuất ra một cảnh báo lỗi.

9.8.7  Kiểm tra nhập khóa thủ công vào bộ tạo bit ngẫu nhiên tất định

Khi thông tin an toàn được nhập thủ công vào bộ tạo bit ngẫu nhiên tất định (ví dụ: mầm hoặc khóa), thông tin an toàn phải bao gồm một mã phát hiện lỗi (EDC) hoặc các giá trị nhập vào trùng lặp được sử dụng để kiểm tra tính chính xác của thông tin an toàn. EDC phải dài ít nhất 16 bit. Bộ tạo bit ngẫu nhiên tất định phải kiểm tra EDC hoặc các giá trị nhập vào trùng lặp xem có phù hợp không. Nếu EDC được tính toán không bằng với EDC nhập vào, hoặc các giá trị nhập vào trùng lặp không khớp, thì không vượt qua kiểm tra. Trong trường hợp này, bộ tạo bit ngẫu nhiên tất định phải chuyển sang trạng thái lỗi và xuất ra một cảnh báo lỗi.

9.8.8  Kiểm tra tạo bit ngẫu nhiên liên tục của bộ tạo bit ngẫu nhiên tất định

Bộ tạo bit ngẫu nhiên tất định phải được kiểm tra với một giá trị cố định. Nếu mỗi lần gọi tạo ra các khối n bit (trong đó n ≥ 80), khối đầu tiên được tạo ra sau khi bật nguồn, khởi tạo hoặc khởi động lại phải không được sử dụng, nhưng được lưu để so sánh với khối tiếp theo được tạo ra. Mỗi lần tạo ra một khối n bit phải được so sánh với khối được tạo ra trước đó. Kiểm tra thất bại nếu hai khối n bit được so sánh là giống nhau. Nếu kiểm tra thất bại, bộ tạo bit ngẫu nhiên tất định phải chuyển sang trạng thái lỗi và xuất ra một cảnh báo lỗi.

Nếu một lần gọi tới bộ tạo tạo ra ít hơn 80 bit, thì n bit đầu tiên (trong đó n ≥ 80) được tạo ra sau khi bật nguồn, khởi tạo hoặc khởi động lại phải không được sử dụng, nhưng được lưu để so sánh với n bit tiếp theo được tạo ra. Mỗi lần tạo ra n bit phải được so sánh với n bit được tạo ra trước đó. Kiểm tra thất bại nếu hai chuỗi n bit được so sánh là giống nhau. Nếu kiểm tra thất bại, bộ tạo bit ngẫu nhiên tất định phải chuyển sang trạng thái lỗi và xuất ra một cảnh báo lỗi.

9.9  Yêu cầu bổ sung đối với khóa của bộ tạo bit ngẫu nhiên tất định

Ngoài các yêu cầu về chức năng được áp dụng cho các thành phần của bộ tạo bit ngẫu nhiên tất định, các yêu cầu khác cũng được áp dụng cho việc thực thi và sử dụng bộ tạo bit ngẫu nhiên tất định. Những yêu cầu này được kết hợp với khóa được sử dụng bởi một bộ tạo bit ngẫu nhiên tất định cho trước.

...

...

...

Khóa và cách sử dụng nó trong bộ tạo bit ngẫu nhiên tất định như sau:

1. Sử dụng khóa: Khóa phải được sử dụng như quy định đối với một bộ tạo bit ngẫu nhiên tất định cụ thể. Bộ tạo bit ngẫu nhiên tất định yêu cầu khóa không được tạo đầu ra cho đến khi khóa sẵn sàng.

2. Độ bất định của khóa. Độ bất định khi kết hợp các khóa ít nhất phải bằng độ an toàn mà ứng dụng yêu cầu. Ví dụ, khi độ an toàn yêu cầu của ứng dụng là 112 bit, thi khóa phải có độ bất định ít nhất là 112 bit.

3. Kích thước khóa: Kích thước khóa được lựa chọn nhằm hỗ trợ độ an toàn mong đợi trong ứng dụng.

4. Xác định khóa từ mầm: Một khóa được xác định từ mầm phải độc lập với phần còn lại của đầu vào khởi tạo được xác định bởi mầm đó. Nếu nhiều khóa được sử dụng trong bộ tạo bit ngẫu nhiên tất định, trái ngược với việc sử dụng cùng một khóa ở nhiều nơi, thì từng khóa phải độc lập với tất cả các khóa còn lại.

a) Đối với bộ tạo bit ngẫu nhiên tất định xác định khóa từ mầm giống nhau là một giá trị khởi tạo và khóa khác (tức là một mầm đơn được sử dụng để xác định tất cả các đầu vào khởi tạo của bộ tạo bit ngẫu nhiên tất định, bao gồm khóa), mầm phải có độ bất định bằng hoặc lớn hơn độ an toàn mà ứng dụng yêu cầu.

b) Đối với bộ tạo bit ngẫu nhiên tất định sử dụng nhiều mầm khóa để xác định một trường hợp của bộ tạo bit ngẫu nhiên tất định, từng mầm phải được sử dụng để xác định phần khác nhau của đầu vào khởi tạo (ví dụ: giá trị khởi tạo cho bộ tạo bit ngẫu nhiên tất định và từng khóa riêng biệt phải được xác định từ các mầm khác nhau). Việc kết hợp tất cả các mầm phải có độ bất định bằng hoặc lớn hơn độ an toàn mà ứng dụng yêu cầu.

5. Khóa được cung cấp từ một nguồn bên ngoài. Khóa được tạo ra từ bên ngoài phải có độ bất định đầy đủ (tức là mỗi bit khóa phải độc lập với mọi bit khóa khác) và được tạo ra bằng cách sử dụng một bộ tạo bit ngẫu nhiên bất định hoặc một bộ tạo bit ngẫu nhiên tất định (hoặc một chuỗi bộ tạo bit ngẫu nhiên tất định) lấy mầm từ một bộ tạo bit ngẫu nhiên bất định.

6. Thay khóa: Thay khóa (tức là thay khóa này bằng một khóa mới) là phương tiện để khôi phục tính bí mật của đầu ra bộ tạo bit ngẫu nhiên tất định nếu khóa bị lộ. Việc thay khóa định kỳ là một biện pháp đối phó tốt với các mối đe dọa tiềm ẩn gây tổn hại đến khóa và đầu ra của bộ tạo bit ngẫu nhiên tất định. Tuy nhiên, kết quả từ việc thay khóa chỉ giống như sử dụng bộ tạo bit ngẫu nhiên bất định (hoặc chuỗi các bộ tạo bit ngẫu nhiên tất định được khởi tạo bởi một bộ tạo bit ngẫu nhiên bất định) để tạo ra khóa mới. Trong một số quá trình thực thi (ví dụ: thẻ smartcard), không thể thực hiện quá trình thay khóa đầy đủ và việc thay khóa có thể làm giảm độ an toàn. Trong những trường hợp như vậy, biện pháp tốt nhất là thay thế bộ tạo bit ngẫu nhiên tất định, có được khóa mới (ví dụ: sử dụng thẻ smartcard mới).

...

...

...

7. Vòng đời khóa: Khóa có một vòng đời hữu hạn nhất định. Khóa phải được cập nhật (thay thế) định kỳ. Phải hủy khóa hết hạn hoặc khóa mà giá trị cập nhật hoặc giá trị mới được dẫn xuất. Nếu khóa bị lộ (ví dụ: mầm bị tổn hại), thì các thực thể trái phép có thể xác định được đầu ra của bộ tạo bit ngẫu nhiên tất định.

8. Phân tách khóa: Một khóa được sử dụng bởi bộ tạo bit ngẫu nhiên tất định sẽ không được cố tình sử dụng cho bất kỳ mục đích nào khác ngoài việc tạo bit ngẫu nhiên. Các trường hợp khác nhau của bộ tạo bit ngẫu nhiên tất định phải sử dụng các khóa khác nhau.

Phụ lục A

(quy định)

Kết hợp các bộ tạo bit ngẫu nhiên

Việc kết hợp các bộ tạo bit ngẫu nhiên được cho phép trong tiêu chuẩn này, miễn là nó được kết hợp theo một cách chấp nhận được. Bộ tạo bit ngẫu nhiên kết hợp phải tuân theo mô hình “không kém hơn”, tức là bộ tạo bit ngẫu nhiên kết hợp được đề xuất phải “không kém hơn” một bộ tạo bit ngẫu nhiên đã được phê duyệt (và về mặt lý thuyết nó còn phải tốt hơn). Đây chính là một cách để kết hợp các bộ tạo bit ngẫu nhiên.

Một bộ tạo bit ngẫu nhiên có thể được kết hợp với bộ tạo bit ngẫu nhiên khác nếu các bộ tạo bit ngẫu nhiên không tương quan với nhau. Ví dụ: sử dụng một mầm khác nhau và/hoặc sử dụng một thuật toán khác nhau. Nếu hai thuật toán khác nhau được kết hợp, điều này sẽ giải quyết mối quan tâm về phát hiện trong tương lai có tấn công mật mã lên một trong các thuật toán.

Một bộ tạo bit ngẫu nhiên đã được phê duyệt có thể kết hợp với một bộ tạo bit ngẫu nhiên không được phê duyệt trong tiêu chuẩn này nếu hai bộ tạo bit ngẫu nhiên không tương quan và bộ tạo bit ngẫu nhiên thứ hai giảm xuống một hằng số (có nghĩa là độ bất định bằng không) thì đầu ra của bộ tạo bit ngẫu nhiên kết hợp vẫn là đầu ra của bộ tạo bit ngẫu nhiên được phê duyệt. Ví dụ: nếu hai dòng đầu ra của bộ tạo bit ngẫu nhiên được kết hợp bằng cách sử dụng phép XOR thì điều kiện này được thỏa mãn.

...

...

...

VÍ DỤ 1: Bộ tạo bit với nguồn bất định vật lý có thể sử dụng một bộ tạo bit ngẫu nhiên tất định được khởi tạo đúng quy định để trộn “bộ trữ” các bit thu được từ nguồn vật lý.

VÍ DỤ 2: Bộ tạo bit bao gồm một bộ tạo bit ngẫu nhiên bất định “hoàn chỉnh” cung cấp đầu vào cho một bộ tạo bit ngẫu nhiên tất định “hoàn chỉnh”, không gây ảnh hưởng đến dòng bit từ bộ tạo bit ngẫu nhiên bất định đến bộ tạo bit ngẫu nhiên tất định, ngoại trừ việc kiểm tra hoạt động hoặc kiểm tra đầu ra.

Phụ lục B

(quy định)

Các phương pháp chuyển đổi

B.1  Tạo số ngẫu nhiên

B.1.1  Kỹ thuật tạo số ngẫu nhiên

Tiêu chuẩn này tập trung vào tạo các chuỗi bit ngẫu nhiên. Trong một số ứng dụng mật mã, chuỗi các số ngẫu nhiên được ký hiệu là (a₀, a₁, a₂, ...) trong đó:

...

...

...

2. Phương trình a_i = s với xác suất bằng 1/r, với mọi i ≥ 0 và s (0 ≤ s ≤ r - 1); và

3. Mọi giá trị a_i độc lập xác suất trong tập các giá trị a_j (j ≠ i).

Trong phần này quy định bốn kỹ thuật tạo ra các dãy số ngẫu nhiên như vậy từ các chuỗi bit ngẫu nhiên.

Nếu phạm vi của số được yêu cầu là 0 ≤ a_i ≤ r - 1 và a ≤ a_i ≤ b thì một số ngẫu nhiên trong khoảng này có thể thu được bằng cách tính a_i + a trong đó a_i là một số ngẫu nhiên trong khoảng 0 ≤ a_i ≤ b – a.

B.1.2  Phương pháp loại bỏ đơn giản

Cho m là số nguyên dương duy nhất thỏa mãn 2^{m - 1} ≤ r ≤ 2^m – 1 (m được xác định duy nhất bằng cách chọn r). Phương pháp để tạo ra số ngẫu nhiên a như sau:

1. Sử dụng bộ tạo bit ngẫu nhiên để tạo ra một chuỗi m bit ngẫu nhiên (b₀, b₁, ..., b_m-1).

2. Cho

3. Nếu c < r thì đặt a = c, ngược lại loại bỏ c và chuyển sang bước 1.

...

...

...

B.1.3  Phương pháp loại bỏ phức tạp

Lựa chọn một số nguyên dương nhỏ t và cho m là số nguyên dương duy nhất thỏa mãn 2^{m - 1} ≤ r^t ≤ 2^m – 1 (m được xác định duy nhất bằng cách chọn r và t). Phương pháp này tạo ra một chuỗi t số ngẫu nhiên (a₀, a₁, ..., a_t-1) như sau:

1. Sử dụng bộ tạo bit ngẫu nhiên để tạo ra một chuỗi m bit ngẫu nhiên (b₀, b₁, ..., b_m-1).

2. Cho

3. Nếu c < r^t thì cho (a₀, a₁, ..., a_{t - 1}) là chuỗi giá trị duy nhất thỏa mãn 0 ≤ a_i ≤ r - 1 sao cho  Ngược lại loại bỏ c và quay về bước 1.

CHÚ THÍCH 1 Tỷ số r^t/2^m là thước đo tính hiệu quả của kỹ thuật, và tỷ số này phải luôn luôn thỏa mãn 0,5 ≤ r^t/2^m < 1. Do đó, cho trước r, cần lựa chọn t sao cho t là giá trị nhỏ nhất thỏa mãn r^t/2^m gần bằng 1. Ví dụ, nếu r = 3, thì lựa chọn t = 3 có nghĩa là m = 5 và r^t/2^m = 27/32 ≈ 0,84 và lựa chọn t = 5 có nghĩa là m = 8 và r^t/2^m = 243/256 ≈ 0,95.

CHÚ THÍCH 2 Phương pháp loại bỏ phức tạp giống với phương pháp loại bỏ đơn giản khi t = 1.

B.1.4  Phương pháp mô-đun đơn giản

Cho m là số nguyên dương duy nhất thỏa mãn 2^m-1 ≤ r ≤ 2^m – 1 và cho l là tham số bí mật. Phương pháp để tạo ra số ngẫu nhiên a như sau:

...

...

...

2. Cho c = .

3. Cho a = c mod r.

CHÚ THÍCH Không giống như hai phương pháp trước, phương pháp mô-đun đơn giản được đảm bào kết thúc sau mỗi lần thực thi. Xác suất để a = s đối với mọi giá trị s cụ thể (0 ≤ s ≤ r - 1) không chính xác bằng 1/r. Nhưng đối với một giá trị l đủ lớn, chênh lệch giữa xác suất để a = s đối với mọi giá trị s cụ thể và 1/r là không đáng kể. Đề xuất sử dụng giá trị l = 64.

B.1.5  Phương pháp mô-đun phức tạp

Chọn một số nguyên dương nhỏ t, sau đó cho m là số nguyên dương duy nhất thỏa mãn 2^m-1 ≤ r^t ≤ 2^m - 1 (m được xác định duy nhất bằng cách chọn r và t). Cho l là tham số an toàn. Phương pháp này tạo ra một chuỗi t số ngẫu nhiên (a₀, a₁, ..., a_t-1) như sau:

1. Sử dụng bộ tạo bit ngẫu nhiên tạo ra một chuỗi gồm gồm m + l bit ngẫu nhiên, (b₀, b₁, ..., b_m+l-1).

2. Cho c = .

Cho (a₀, a₁, ..., a_t-1) là chuỗi giá trị duy nhất thỏa mãn 0 ≤ a_i ≤ r - 1 sao cho c = .

CHÚ THÍCH 1 Giống như phương pháp mô-đun đơn giản, phương pháp mô-đun phức tạp không cung cấp các số có phân bố đều, nhưng chênh lệch giữa phân bố thực tế của các số và phân bố đều là không đáng kể với một tham số an toàn đủ lớn. Đề xuất sử dụng giá trị l = 64.

...

...

...

Phụ Lục C

(quy định)

Bộ tạo bit ngẫu nhiên tất định

C.1  Ví dụ về cơ chế bộ tạo bit ngẫu nhiên tất định

Phụ lục này chứa các ví dụ về cơ chế bộ tạo bit ngẫu nhiên tất định đáp ứng các yêu cầu của tiêu chuẩn này. Đây không phải là một danh sách đầy đủ. Các cơ chế khác là khả thi nếu chúng đáp ứng các yêu cầu được nêu trong phần chính của tiêu chuẩn này.

Các bộ tạo bit ngẫu nhiên tất định trong phụ lục này được đưa ra trong tựa mã.

CHÚ THÍCH Một số ví dụ tựa mã trong phần này cũng có trong [3].

C.2  Bộ tạo bit ngẫu nhiên tất định dựa trên hàm băm

...

...

...

Bộ tạo bit ngẫu nhiên tất định băm dựa trên hàm băm không thể đảo ngược. Bộ tạo bit ngẫu nhiên tất định dựa trên hàm băm được cung cấp dưới đây.

Hash_DRBG (...) quy định đã được thiết kế để sử dụng bất kỳ hàm băm mật mã ISO/IEC nào và có thể được sử dụng bởi các ứng dụng yêu cầu mức độ an toàn khác nhau, miễn là sử dụng hàm băm thích hợp và cung cấp đủ độ bất định cho mầm. Những hàm băm này được quy định trong ISO/IEC 10118-3.

C.2.2  Hash_DRBG

C.2.2.1  Thảo luận

Những giả định khi thiết kế bộ tạo bit ngẫu nhiên tất định dựa trên hàm băm (Hash_DRBG) như sau:

1. Đầu ra của hàm băm xuất hiện ngẫu nhiên nếu đầu vào là khác nhau.

2. Mầm chứa một lượng độ bất định thích hợp dựa trên các bit an toàn mong đợi, lên đến một giá trị tối đa của độ dài bit đầu ra của hàm băm.

Hash_DRBG (...) cung cấp một hàm băm ISO/IEC tạo ra một khối các bit giả ngẫu nhiên sử dụng một mầm (seed).

Đầu vào bổ sung tùy chọn (additional_input) được cung cấp trong mỗi yêu cầu của Hash_DRBG (...).

...

...

...

Độ dài mầm (seedlen) ít nhất phải bằng giá trị lớn nhất của kích thước khối đầu ra hàm băm (outlen) và độ mạnh an toàn.

Bộ tạo Hash_DRBG (...) yêu cầu sử dụng hàm băm tại một số điểm trong quá trình xử lý, bao gồm các quá trình khởi tạo và thay mầm mới. Hàm băm giống nhau phải được sử dụng liên tục. Hàm băm được sử dụng phải đáp ứng hoặc vượt quá độ mạnh an toàn mong đợi mà ứng dụng yêu cầu.

Bảng C.1 cung cấp một ví dụ về hàm băm mật mã được ISO/IEC đề xuất, minh họa độ mạnh an toàn, độ bất định tối thiểu yêu cầu và độ dài mầm.

Bảng C.1 - Bảng độ mạnh an toàn cho các hàm băm

Hàm băm

SHA-1

SHA-224

SHA-256

SHA-384

...

...

...

Độ mạnh an toàn hỗ trợ

80,

80,

80,

80,

80,

112,

112,

112,

...

...

...

112,

128

128,

128,

128,

128,

192

192,

...

...

...

192,

256

256

256

Độ bất định tối thiểu yêu cầu

max (120, độ mạnh an toàn)

Độ dài mầm (seedlen)

...

...

...

440

440

888

888

CHÚ THÍCH Mô tả về hàm max(...) có trong C.2.2.2.1.

C.2.2.2  Mô tả

C.2.2.2.1  Giới thiệu chung

Quá trình khởi tạo và thay mầm mới của Hash_DRBG (...) bao gồm việc lấy một đầu vào bất định với tối thiểu lượng độ bất định mà ứng dụng yêu cầu. Đầu vào bất định được sử dụng để dẫn xuất mầm. Mầm được dùng để dẫn xuất các phần tử của trạng thái khởi tạo bao gồm:

1. Giá trị (V) được cập nhật trong mỗi lần gọi tới bộ tạo bit ngẫu nhiên tất định;

...

...

...

3. Bộ đếm (reseed_counter) chỉ ra số lượng yêu cầu các bit giả ngẫu nhiên vì entropy_input mới thu được trong quá trình khởi tạo hoặc thay mầm mới;

4. Độ mạnh an toàn trong quá trình khởi tạo bộ tạo bit ngẫu nhiên tất định;

5. Độ dài mầm (seedlen);

6. prediction_resistance_flag cho biết tính an toàn về phía trước có được bộ tạo bit ngẫu nhiên tất định yêu cầu hay không;

7. (Tùy chọn) Chuyển đổi đầu vào độ bất định sử dụng hàm một chiều để so sánh với đầu vào độ bất định mới khi bộ tạo bit ngẫu nhiên tất định được thay mầm mới; giá trị này phải được biểu diễn nếu bộ tạo bit ngẫu nhiên tất định được thay mầm mới; có thể bỏ qua nếu bộ tạo bit ngẫu nhiên tất định không được thay mầm mới.

Các biến được sử dụng trong mô tả Hash_DRBG (...) như sau:

additional_input

Đầu vào bổ sung tùy chọn.

c

...

...

...

data

Dữ liệu được băm.

entropy_input

Các bit chứa độ bất định được sử dụng để xác định seed_material và tạo mầm.

Get_entropy (min_entropy, min_length, max_length)

Hàm nhận được một xâu bit từ nguồn bất định. min_entropy chỉ ra số lượng độ bất định tối thiểu được cung cấp trong các bit trả về; min_length chỉ ra số bit tối thiểu trả về; max_length chỉ ra số bit tối đa trả về.

Hash (a)

Hoạt động băm trên dữ liệu a sử dụng một hàm băm ISO/IEC.

Hash_df (seed_material, seedlen)

...

...

...

i

Giá trị tạm thời được sử dụng làm bộ đếm vòng lặp.

m

Số lượng vòng lặp mà hàm băm cần để thu được số lượng các bit giả ngẫu nhiên theo yêu cầu.

max (A, B)

Hàm trả về giá trị lớn hơn A hoặc B.

max_length

Độ dài tối đa của xâu trả về từ hàm Get_entropy (...).

max_request_length

...

...

...

min_entropy

Lượng độ bất định tối thiểu thu được từ nguồn bất định và được cung cấp trong mầm.

min_length

Độ dài tối thiểu của entropy_input.

Null

Xâu rỗng.

outlen

Độ dài của khối đầu ra hàm băm

personalisation_string

...

...

...

prediction_resistance_flag

Cờ cho biết yêu cầu về tính an toàn phía trước có được thực hiện hay không. prediction_resistance_flag = 1 = cho phép = Cho phép chống lại việc dự đoán trước, 0 = không cho phép = Không chống lại việc dự đoán trước.

prediction_resistance_request_flag

Chỉ ra tính an toàn phía trước có được yêu cầu trong một lần yêu cầu các bit giả ngẫu nhiên hay không. prediction_resistance_request_flag = 1 = Cung cấp khả năng chống lại việc dự đoán trước, 0 = Không cung cấp khả năng chống lại việc dự đoán trước.

pseudorandom_bits

Số lượng các bit giả ngẫu nhiên trả về từ hàm Hash_DRBG (...).

requested_no_of_bits

Số lượng các bit giả ngẫu nhiên được tạo ra

requested_strength

...

...

...

reseed_counter

Đếm số lượng các yêu cầu bit giả ngẫu nhiên khi khởi tạo hoặc thay mầm mới.

reseed_interval

Số lượng các yêu cầu tối đa để tạo các bit giả ngẫu nhiên trước khi yêu cầu thay mầm mới.

seed

Xâu bit chứa độ bất định được sử dụng để xác định trạng thái bên trong của bộ tạo bit ngẫu nhiên tất định trong khi khởi tạo hoặc thay mầm mới.

seedlen

Độ dài mầm chứa độ bất định yêu cầu.

seed_material

...

...

...

state (state_handle)

Một mảng trạng thái cho các quá trình khởi tạo khác nhau của bộ tạo bit ngẫu nhiên tất định. Trạng thái được thực hiện giữa những lần gọi đến bộ tạo bit ngẫu nhiên tất định. Đối với Hash_DRBG (...), trạng thái cho một lần khởi tạo được xác định bằng state (state_handle) = {V, C, reseed_counter, strength, seedlen, prediction_resistance_flag}. Một phần tử cụ thể của state được quy định bằng state(state_handle).element, ví dụ: state(state_handle).V.

state_handle

Xử lý đối với không gian trạng thái trong quá trình khởi tạo.

status

Trạng thái trả về từ một lần gọi hàm, trong đó status = “Thành công” hoặc một thông báo lỗi.

strength

Độ mạnh an toàn cho bộ tạo bit ngẫu nhiên tất định.

V

...

...

...

w, W

Các giá trị trung gian.

C.2.2.2.2  Khởi tạo Hash_DRBG (...)

Quá trình sau đây hoặc tương đương được sử dụng để khởi tạo Hash_DRBG (...).

Cho Hash (...) là hàm băm ISO/IEC được sử dụng và outlen là độ dài đầu ra của hàm băm.

lnstantiate_Hash_DRBG (...):

Đầu vào: số nguyên (requested_strength, prediction_resistance_flag), xâu personalisation_string.

Đầu ra: xâu status, số nguyên state_handle.

Quá trình:

...

...

...

(Thông báo lỗi).

2. Thiết lập độ mạnh bằng một trong năm độ mạnh an toàn.

If (requested_strength ≤ 80), then strength = 80

Else if (requested_strength ≤ 112), then strength = 112

Else if (requested_strength ≤ 128), then strength = 128

Else if (requested_strength ≤ 192), then strength = 192

Else strength = 256.

3. min_entropy = max (120, strength).

4. min_length = max (outlen, strength).

...

...

...

6. If (status ≠ “Thành công”), then Return (Thông báo lỗi).

7. seed_material = entropy_input || personalisation_string.

8. seed = Hash_df (seed_material, seedlen).

CHÚ THÍCH 1 Bước này đảm bảo rằng độ bất định được phân bố thông qua mầm.

9. V = seed.

10. C = Hash_df ((0x00 || V), seedlen).

CHÚ THÍCH 2 Thêm vào trước V một byte 0.

11. reseed_counter = 1.

12. state(state_handle) = {V, C, reseed_counter, strength, prediction_resistance_flag}.

...

...

...

Get_entropy (...):

Mô tả cụ thể về Get_entropy (...) được giao cho người thực thi. Một ví dụ cấp cao được cung cấp dưới đây.

Đầu vào: số nguyên (min_entropy, min_length, max_length).

Đầu ra: xâu (status, entropy_input).

Quá trình:

1. Thu được entropy_input với độ bất định ≥ min_entropy và với độ dài thích hợp từ nguồn tương ứng, trong đó min_length ≤ độ dài ≤ max_length.

2. Return (“Thành công”, entropy_input).

Hash_df (...):

Các hàm dẫn xuất được sử dụng trong quá trình khởi tạo và thay mầm mới của bộ tạo bit ngẫu nhiên tất định dẫn xuất các giá trị trạng thái hoặc phân bố độ bất định thông qua một xâu bit. Hàm băm dữa trên hàm dẫn xuất băm một xâu đầu vào và trả về số lượng bit yêu cầu. Cho Hash (...) là hàm băm được bộ tạo bit ngẫu nhiên tất định sử dụng và outlen là độ dài đầu ra.

...

...

...

Đầu ra: xâu bit requested_bits.

Quá trình:

1. temp = xâu rỗng.

2. len =

3. counter = một giá trị nhị phân 8 bit được biểu diễn dưới dạng hexa là 0x01.

4. For i = 1 to len do

4.1  temp = temp || Hash (counter || no_of_bits || input_string).

CHÚ THÍCH 3 no_of_bits được biểu diễn bằng một số nguyên 32 bit.

4.2  counter = counter + 1.

...

...

...

6. Return (requested_bits).

CHÚ THÍCH 4 Nếu quá trình thực thi không xử lý tất cả năm độ mạnh an toàn, thì bước 2 của lnstantiate_Hash_DRBG(...) phải được sửa đổi cho phù hợp.

CHÚ THÍCH 5 Nếu personalisation_string không được cung cấp, thì tham số personalisation_string trong đầu vào có thể bỏ qua và bước 7 lnstantiate_Hash_DRBG(...) được sửa thành seed_material = entropy_input.

CHÚ THÍCH 6 Nếu quá trình thực thi không cần prediction_resistance_flag làm tham số gọi (tức là Hash_DRBG (...) trong C.2.2.2.4 hoặc luôn luôn hoặc không bao giờ nhận được độ bất định mới trong bước 5), thì prediction_resistance_flag trong các tham số gọi và trong trạng thái (xem bước 12 trong lnstantiate_Hash_DRBG(...)) có thể được bỏ qua.

C.2.2.2.3  Thay mầm mới cho quá trình khởi tạo Hash_DRBG (...)

Quá trình sau đây hoặc tương đương được sử dụng để thay mầm mới cho Hash_DRBG (...). Cho Hash (...) là hàm băm ISO/IEC được sử dụng và cho outlen là độ dài đầu ra của hàm băm này.

Reseed_Hash_DRBG_lnstantiation (...):

Đầu vào: số nguyên state_handle, xâu additional_input.

Đầu ra: xâu status, trong đó status = “Thành công” hoặc một thông báo lỗi.

...

...

...

1. If trạng thái chưa sẵn sàng, then Return (thông báo lỗi).

2. Lấy các giá trị trạng thái phù hợp, ví dụ: V = state(state_handle).V, strength = state(state_handle).strength, seedlen = state(state_handle).seedlen.

3. min_entropy = max (120, strength).

4. min_length = min_entropy.

5. (status, entropy_input) = Get_entropy (min_entropy, min_length, max_length).

6. If (status ≠ “Thành công”), then Return (thông báo lỗi).

7. seed_material = 0x01 || V || entropy_input || additional_input.

8. seed = Hash_df (seed_material, seedlen).

CHÚ THÍCH Bước này kết hợp entropy_input mới với một byte cố định, độ bất định biểu diễn trong V và với mọi additional_input được cung cấp; thì phân bố trên mầm.

...

...

...

10. C = Hash_df ((0x00 || V), seedlen).

11. Cập nhật các giá trị trạng thái thích hợp.

11.1. state(state_handle).V = V.

11.2. state(state_handle).C = C.

11.3. state(state_handle).reseed_counter = 1.

12. Return (“Thành công”).

C.2.2.2.4  Tạo các bit giả ngẫu nhiên sử dụng Hash_DRBG (...)

Quá trình sau đây hoặc tương đương được sử dụng để tạo ra các bit giả ngẫu nhiên. Cho Hash (...) là hàm băm ISO/IEC được sử dụng (ISO/IEC 10118-3) và cho outlen là độ dài đầu ra của hàm băm đó.

Hash_DRBG (...):

...

...

...

Đầu ra: xâu status, xâu bit pseudorandom_bits, trong đó status = “Thành công” hoặc một thông báo lỗi.

Quá trình:

1. If trạng thái chưa sẵn sàng, then Return (Thông báo lỗi, Null).

2. Lấy các giá trị trạng thái thích hợp, ví dụ: V = state(state_handle).V, C = state(state_handle).C, reseed_counter = state(state_handle).reseed_counter, strength = state(state_handle).strength, seedlen = state(state_handle).seedlen, prediction_resistance_flag = state(state_handle).prediction_resistance_flag.

3. If (requested_no_of_bits > max_request_length), then Return (Thông báo lỗi, Null).

4. If (requested_strength > strength), then Return (Thông báo lỗi, Null).

5. If ((prediction_resistance_request_flag = Cho phép chống lại việc dự đoán trước) and

(prediction_resistance_flag = Không chống lại việc dự đoán trước)), then Return (Thông báo lỗi, Null).

6. If ((reseed_counter > reseed_interval) OR (prediction_resistance_request_flag = Provide_prediction_resistance)) then:

...

...

...

6.2  status = Reseed_Hash_DRBG_lnstantiation (state_handle, additional_input).

6.3  If (status ≠ “Thành công”), then Return (status, Null).

6.4  V = state(state_handle).V, C = state(state_handle).C, reseed_counter = state(state_handle).reseed_counter.

6.5  additional_input = Null.

7. If (additional_input ≠ Null), then do

7.1  w = Hash (0x02 || V || additional_input).

7.2  V = (V + w) mod 2^seedlen.

8. pseudorandom_bits = Hashgen (requested_no_of_bits, V).

9. H = Hash (0x03 || V).

...

...

...

11. reseed_counter = reseed_counter + 1.

12. Cập nhật các giá trị đã thay đổi trong trạng thái.

12.1  state(state_handle).V = V.

12.2  state(state_handle).reseed_counter = reseed_counter.

13. Return (“Thành công”, pseudorandom_bits).

Hashgen (...):

Đầu vào: số nguyên requested_no_of_bits, xâu bit V.

Đầu ra: xâu bit pseudorandom_bits.

Quá trình:

...

...

...

2. data = V.

3. W = xâu rỗng.

4. For i = 1 to m

5. pseudorandom_bits = requested_no_of_bits ngoài cùng bên trái của W.

6. Return (pseudorandom_bits).

CHÚ THÍCH 1 Nếu phần thực thi không yêu cầu additional_input, thì tham số đầu vào additional_input và bước 6 của Hash_DRBG có thể được bỏ qua.

CHÚ THÍCH 2 Nếu phần thực thi không cần prediction_resistance_flag, thì những gì liên quan đến prediction_resistance_flag trong Hash_DRBG có thể được bỏ qua.

C.2.2.2.5  Chèn độ bất định bổ sung vào trạng thái của Hash_DRBG (...)

Độ bất định bổ sung có thể được chèn vào trạng thái của Hash_DRBG (...) bằng bốn cách. Độ bất định bổ sung có thể được chèn vào bằng:

...

...

...

2. Sử dụng tính năng thay mầm mới tự động của bộ tạo bit ngẫu nhiên tất định. Nếu số lượng tối đa các cập nhật đối với trạng thái đạt được, thì bộ tạo bit ngẫu nhiên tất định sẽ gọi Reseed_Hash_DRBG_lnstantiation (...).

3. Thiết lập prediction_resistance_flag thành Cho phép chống lại việc dự đoán trước khi khởi tạo. Nếu thiết lập thành công, mỗi lần gọi đến bộ tạo bit ngẫu nhiên tất định để tạo ra các bit giả ngẫu nhiên phải bao gồm yêu cầu về tính an toàn về phía trước, trong đó lần lượt gọi đến Get_entropy (...) trước khi tạo ra các bit giả ngẫu nhiên mới.

4. Cung cấp đầu vào bổ sung trong mỗi lần gọi đến bộ tạo bit ngẫu nhiên tất định để tạo các bit giả ngẫu nhiên.

CHÚ THÍCH Các lần gọi thường xuyên đến hàm Get_entropy (...) có thể làm giảm hiệu suất một cách nghiêm trọng.

C.2.3  HMAC_DRBG

C.2.3.1  Thảo luận

HMAC_DRBG sử dụng nhiều lần hàm băm có khóa được chấp nhận dựa trên bất kỳ hàm băm mật mã ISO/IEC nào có trong ISO/IEC 10118-3. Cơ chế bộ tạo bit ngẫu nhiên tất định này sử dụng hàm cập nhật được quy định trong C.2.3.2.2 và hàm HMAC với hàm cập nhật là hàm dẫn xuất trong quá trình khởi tạo và thay mầm mới. Hàm băm mật mã giống nhau được sử dụng trong suốt quá trình khởi tạo HMAC_DRBG. Hàm băm được sử dụng phải đáp ứng hoặc vượt quá các yêu cầu an toàn mà ứng dụng yêu cầu.

C.2.3.2  Mô tả

C.2.3.2.1  Giới thiệu chung

...

...

...

1. Giá trị V được cập nhật mỗi lần outlen bit đầu ra khác nhau được tạo ra (trong đó outlen là số lượng các bit đầu ra từ hàm băm mật mã);

2. Khóa outlen bit được cập nhật ít nhất mỗi lần bộ tạo bit ngẫu nhiên tất định tạo ra các bit giả ngẫu nhiên;

3. Bộ đếm (reseed_counter) chỉ ra số lượng yêu cầu các bit giả ngẫu nhiên khi khởi tạo hoặc thay mầm mới;

4. Độ mạnh an toàn khi khởi tạo bộ tạo bit ngẫu nhiên tất định; và

5. prediction_resistance_flag cho biết tính an toàn về phía trước có được bộ tạo bit ngẫu nhiên tất định yêu cầu hay không.

Các biến được sử dụng trong mô tả Hash_DRBG (...) như sau:

additional_input

Đầu vào bổ sung tùy chọn.

data

...

...

...

entropy_input

Các bit chứa độ bất định được sử dụng để xác định seed_material và tạo mầm.

Get_entropy (min entropy, min_length, max_length)

Hàm nhận được một xâu bit từ nguồn bất định. min_entropy chỉ ra số lượng độ bất định tối thiểu được cung cấp trong các bit trả về; min_length chỉ ra số bit tối thiểu trả về; max_length chỉ ra số bit tối đa trả về.

HMAC (K, V)

Hàm băm có khóa được quy định trong ISO/IEC 9797-2 sử dụng hàm băm mật mã được lựa chọn cho cơ chế bộ tạo bit ngẫu nhiên tất định trong đó K là khóa được sử dụng và V là khối đầu vào.

Key

Khóa được sử dụng để tạo ra các bit giả ngẫu nhiên

max (A, B)

...

...

...

max_length

Độ dài tối đa của xâu trả về từ hàm Get_entropy (...).

max_request_length

Số lượng các bit giả ngẫu nhiên tối đa được yêu cầu trong một lần gọi. Giá trị này được thực thi một cách phụ thuộc.

min_entropy

Lượng độ bất định tối thiểu thu được từ nguồn bất định và được cung cấp trong mầm.

min_length

Độ dài tối thiểu của entropy_input.

Null

...

...

...

outlen

Độ dài của khối đầu ra hàm băm

personalisation_string

Xâu thông tin cá nhân.

prediction_resistance_flag

Cờ cho biết yêu cầu về tính an toàn về phía trước có được thực hiện hay không. prediction_resistance_flag = 1 = cho phép = Cho phép chống lại việc dự đoán trước, 0 = không cho phép = Không chống lại việc dự đoán trước.

prediction_resistance_request_flag

Chỉ ra tính an toàn về phía trước có được yêu cầu trong một lần yêu cầu các bit giả ngẫu nhiên hay không. prediction_resistance_request_flag = 1 = Cung cấp khả năng chống lại việc dự đoán trước, 0 = Không cung cấp khả năng chống lại việc dự đoán trước.

pseudorandom_bits

...

...

...

requested_no_of_bits

Số lượng các bit giả ngẫu nhiên được tạo ra.

requested_strength

Độ mạnh an toàn liên quan đến các bit giả ngẫu nhiên được yêu cầu.

reseed_counter

Đếm số lượng các yêu cầu bit giả ngẫu nhiên khi khởi tạo hoặc thay mầm mới.

reseed_interval

Số lượng các yêu cầu tối đa để tạo các bit giả ngẫu nhiên trước khi yêu cầu thay mầm mới.

seed_material

...

...

...

state(state_handle)

Một mảng trạng thái cho các quá trình khởi tạo khác nhau của bộ tạo bit ngẫu nhiên tất định. Trạng thái được thực hiện giữa những lần gọi đến bộ tạo bit ngẫu nhiên tất định. Đối với HMAC_DRBG (...), trạng thái cho một lần khởi tạo được xác định bằng state (state_handle) = {V, Key, reseed_counter, strength, prediction_resistance_flag}. Một phần tử cụ thể của state được quy định bằng state(state_handle).element, ví dụ: state(state_handle).V.

state_handle

Xử lý đối với không gian trạng thái trong quá trình khởi tạo.

status

Trạng thái trả về từ một lần gọi hàm, trong đó status = “Thành công” hoặc một thông báo lỗi.

strength

Độ mạnh an toàn cho bộ tạo bit ngẫu nhiên tất định.

temp

...

...

...

V

Giá trị trong trạng thái được cập nhật mỗi khi các bit giả ngẫu nhiên được tạo ra.

C.2.3.2.2  Hàm bên trong: Hàm cập nhật

Hàm HMAC_DRBG_Update cập nhật trạng thái bên trong của HMAC_DRBG sử dụng provided_data. CHÚ THÍCH rằng đối với cơ chế bộ tạo bit ngẫu nhiên tất định này, hàm HMAC_DRBG_Update cũng làm việc như một hàm dẫn xuất đối với các hàm khởi tạo và thay mầm mới.

Cho HMAC là hàm băm có khóa trong ISO/IEC 9797-2 sử dụng hàm băm mật mã được lựa chọn từ cơ chế bộ tạo bit ngẫu nhiên tất định từ bảng C.1 trong phụ lục này.

HMAC_DRBG_Update (...):

Đầu vào: xâu bit (provided_data, K, V).

Đầu ra: xâu bit (K, V).

Quá trình:

...

...

...

2. V = HMAC (K, V).

3. If (provided_data = Null), then Return (K, V).

4. K = HMAC (K, V || 0x01 || provided_data).

5. V = HMAC (K, V).

6. Return (K, V).

C.2.3.2.3  Khởi tạo HMAC_DRBG

Quá trình sau đây hoặc tương đương được sử dụng để khởi tạo HMAC_DRBG (...).

Cho HMAC (...) là hàm băm có khóa ISO/IEC được sử dụng và outlen là độ dài đầu ra của hàm băm có khóa.

lnstantiate_HMAC_DRBG (...):

...

...

...

Đầu ra: xâu status, số nguyên state_handle.

Quá trình:

1. If (requested_strength > độ mạnh an toàn tối đa được thuật toán MAC cung cấp), then Return (Thông báo lỗi).

2. Thiết lập độ mạnh bằng một trong năm độ mạnh an toàn.

If (requested_strength ≤ 80), then strength = 80

Else if (requested_strength ≤ 112), then strength = 112

Else if (requested_strength ≤ 128), then strength = 128

Else if (requested_strength ≤ 192), then strength = 192

Else strength = 256.

...

...

...

4. min_length = max (outlen, strength).

5. (status, entropy_input) = Get_entropy (min_entropy, min_length, max_length).

6. If (status ≠ “Thành công”), then Return (Thông báo lỗi).

7. seed_material = entropy_input || personalisation_string.

8. Key = 0x00 00...00.

9. V = 0x01 01...01.

10. (Key, V) = HMAC_DRBG_Update (seed_material, Key, V).

11. reseed_counter = 1.

12. state(state_handle) = {V, Key, reseed_counter, strength, prediction_resistance_flag}.

...

...

...

C.2.3.2.4  Thay mầm mới cho quá trình khởi tạo HMAC_DRBG (...)

Quá trình sau đây hoặc tương đương được sử dụng để thay mầm mới cho HMAC_DRBG (...), sau khi nó được khởi tạo.

Reseed_HMAC_DRBG_lnstantiation (...):

Đầu vào: số nguyên state_handle, xâu additional_input.

Đầu ra: xâu status, trong đó status = “Thành công” hoặc một thông báo lỗi.

Quá trình:

1. If trạng thái chưa sẵn sàng, then Return (thông báo lỗi).

2. Lấy các giá trị trạng thái phù hợp, ví dụ: V = state(state_handle).V, Key = state(state_handle).Key, strength = state(state_handle).strength.

3. min_entropy = max (120, strength).

...

...

...

5. (status, entropy_input) = Get_entropy (min_entropy, min_length, max_length).

6. If (status ≠ “Thành công”), then Return (thông báo lỗi).

7. seed_material = entropy_input || additional_input.

8. (Key, V) = HMAC_DRBG_Update (seed_material, Key, V).

9. Cập nhật các giá trị trạng thái thích hợp.

9.1. state(state_handle).V = V.

9.2. state(state_handle).Key = Key.

9.3. state(state_handle).reseed_counter = 1.

10. Return (“Thành công”).

...

...

...

Quá trình sau đây hoặc tương đương được sử dụng để tạo các bit giả ngẫu nhiên.

HMAC_DRBG (...):

Đầu vào: số nguyên (state_handle, requested_no_of_bits, requested_strength, prediction_resistance_request_flag), xâu additional_input.

Đầu ra: xâu status, xâu bit pseudorandom_bits.

Quá trình:

1. If trạng thái chưa sẵn sàng, then Return (Thông báo lỗi, Null).

2. Lấy các giá trị trạng thái thích hợp, ví dụ: V = state(state_handle).V, Key = state(state_handle).Key, reseed_counter = state(state_handle).reseed_counter, strength = state(state_handle).strength, prediction_resistance_flag = state(state_handle).prediction_resistance_flag.

3. If (requested_no_of_bits > max_request_length), then Return (Thông báo lỗi, Null).

4. If (requested_strength > strength), then Return (Thông báo lỗi, Null).

...

...

...

6. If (temp > max_length), then Return (Thông báo lỗi, Null).

7. If (requested_no_of_bits > max_request_length), then Return (Thông báo lỗi, Null).

8. If ((prediction_resistance_request_flag = Cung cấp khả năng chống lại việc dự đoán trước) and (prediction_resistance_flag = Không chống lại việc dự đoán trước)), then Return (Thông báo lỗi, Null).

CHÚ THÍCH 1 Nếu quá trình thực thi không cần prediction_resistance_flag, thì có thể bỏ qua prediction_resistance_flag trong tham số đầu vào và bỏ qua bước 8.

9. If ((reseed_counter > reseed_interval) OR (prediction_resistance_request_flag = Cung cấp khả năng chống lại việc dự đoán trước)) then:

9.1  If chưa sẵn sàng thay mầm, then Return (Thông báo lỗi, Null).

9.2  status = Reseed_HMAC_DRBG_lnstantiation (state_handle, additional_input).

CHÚ THÍCH 2 Nếu quá trình thực thi không cung cấp additional_input, thì chuỗi Null sẽ thay thế cho additional_input trong bước 9.2.

9.3  If (status ≠ “Thành công”), then Return (thông báo lỗi, Null).

...

...

...

9.5  additional_input = Null.

10. If (additional_input ≠ Null), then:

10.1  (Key, V) = HMAC_DRBG_Update (additional_input, Key, V).

11. temp = Null.

12. While (len (temp) < requested_number_of_bits) do:

12.1  V = HMAC (Key, V).

12.2  temp = temp || V.

13. pseudorandom_bits = requested_no_of_bits ngoài cùng bên trái của temp.

14. (Key, V) = HMAC_DRBG_Update (additional_input, Key, V).

...

...

...

16. Cập nhật các giá trị đã thay đổi trong trạng thái.

16.1  state(state_handle).Key = Key.

16.2  state(state_handle).V = V.

12.2  state(state_handle). reseed_counter = reseed_counter.

17. Return (“Thành công”, pseudorandom_bits).

C.3  Bộ tạo bit ngẫu nhiên tất định dựa trên mã khối

C.3.1  Giới thiệu về bộ tạo bit ngẫu nhiên tất định dựa trên mã khối

Bộ tạo bit ngẫu nhiên tất định mã khối dựa trên một thuật toán mã khối.

Các bộ tạo bit ngẫu nhiên tất định mã khối trong tiêu chuẩn này được thiết kế để sử dụng bất kỳ thuật toán mã khối ISO/IEC đã phê duyệt và được sử dụng bởi các ứng dụng yêu cầu một số mức độ an toàn khác nhau. Các thuật toán mã khối này được quy định trong ISO/IEC 18033-3. Bộ tạo bit ngẫu nhiên tất định dựa trên các thuật toán mã khối được cung cấp sau đây:

...

...

...

2. OFB_DRBG (...) được quy định trong C.3.3.

Bảng C.2 cung cấp một ví dụ về một mã khối ISO/IEC đã phê duyệt, minh hoạt độ mạnh an toàn, các yêu cầu về độ bất định và mầm được sử dụng.

Bảng C.2 - Độ mạnh an toàn, các yêu cầu độ bất định và độ dài mầm đối với mã khối AES-128, 192 và 256

Thuật toán mã khối

Độ mạnh an toàn

Độ bất định tối thiểu yêu cầu

Độ dài mầm (tính bằng bit)

AES-128

80, 112, 128

...

...

...

256

AES-192

80, 112, 128, 192

192

320

AES-256

80, 112, 128, 192, 256

256

384

...

...

...

C.3.2.1  Thảo luận

CTR_DRBG (...) sử dụng một thuật toán mã khối được phê duyệt ở chế độ bộ đếm và được quy định trong ISO/IEC 10116. Thuật toán mã khối và độ dài khóa giống nhau được sử dụng cho tất cả mọi hoạt động của mã khối. Thuật toán mã khối và kích thước khóa phải đáp ứng hoặc vượt quá các yêu cầu an toàn mà ứng dụng yêu cầu.

C.3.2.2  Mô tả

C.3.2.2.1  Giới thiệu chung

Quá trình khởi tạo và thay mầm mới của CTR_DRBG (...) bao gồm việc thu được mầm với lượng bất định phù hợp. Đầu vào độ bất định đưực sử dụng để dẫn xuất mầm, sau đó được dùng để dẫn xuất các phần tử của trạng thái khởi tạo trong bộ tạo bit ngẫu nhiên tất định. Trạng thái bao gồm:

1. Giá trị V được cập nhật mỗi lần outlen bit đầu ra khác nhau được tạo ra (trong đó outlen là số lượng các bit đầu ra từ thuật toán mã khối cơ bản);

2. Khóa được cập nhật mỗi lần số tiền xác định của các khối đầu ra được tạo ra;

3. Độ dài khóa (keylen) được sử dụng trong thuật toán mã khối;

4. Độ mạnh an toàn khi khởi tạo bộ tạo bit ngẫu nhiên tất định;

...

...

...

6. prediction_resistance_flag cho biết tính an toàn về phía trước có được bộ tạo bit ngẫu nhiên tất định yêu cầu hay không.

Các biến được sử dụng trong mô tả CTR_DRBG (...) như sau:

additional_input

Đầu vào bổ sung tùy chọn, có độ dài bit ≤ max_length.

Block_Cipher (Key, V)

Thuật toán mã khối, trong đó Key là khóa được sử dụng và V là khối đầu vào.

Block_Cipher_df (a, b)

Hàm dẫn xuất mã khối.

blocklen

...

...

...

entropy_input

Các bit chứa độ bất định được sử dụng để xác định seed_material và tạo mầm.

Get_entropy (min entropy, min_length, max_length)

Hàm nhận được một xâu bit từ nguồn bất định. min_entropy chỉ ra số lượng độ bất định tối thiểu được cung cấp trong các bit trả về; min_length chỉ ra số bit tối thiểu trả về; max_length chỉ ra số bit tối đa trả về.

Key

Khóa được sử dụng để tạo ra các bit giả ngẫu nhiên.

keylen

Độ dài khóa cho thuật toán mã khối.

len (x)

...

...

...

max_length

Độ dài tối đa của xâu thu thập độ bất định. Khi sử dụng hàm dẫn xuất, giá trị này được thực thi một cách phụ thuộc, nhưng phải ≤ 2³⁵ bit (đối với mã khối 128 bit, có tối đa 2²⁸ khối, tức là 2³² byte - 2³⁵ bit). Khi không sử dụng hàm dẫn xuất, thì max_length = seedlen.

max_request_length

Số lượng các bit giả ngẫu nhiên tối đa được yêu cầu trong một lần gọi; giá trị này được thực thi một cách phụ thuộc nhưng phải ≤ 2³⁵ đối với mã khối 128 bit và ≤ 2¹⁹ bit đối với mã khối 64 bit.

min_entropy

Lượng độ bất định tối thiểu thu được từ nguồn bất định và được cung cấp trong mầm.

Null

Xâu rỗng.

personalisation_string

...

...

...

prediction_resistance _flag

Cờ cho biết yêu cầu về tính an toàn về phía trước có được thực hiện hay không. prediction_resistance_flag = 1 = cho phép = Cho phép chống lại việc dự đoán trước, 0 = không cho phép = Không chống lại việc dự đoán trước.

prediction_resistance_request_flag

Chỉ ra tính an toàn về phía trước có được yêu cầu trong một lần yêu cầu các bit giả ngẫu nhiên hay không; prediction_resistance_request_flag = 1 = Cung cấp khả năng chống lại việc dự đoán trước, 0 = Không cung cấp khả năng chống lại việc dự đoán trước.

pseudorandom_bits

Các bit giả ngẫu nhiên được tạo ra trong một lần gọi đến CTR_DRBG (...).

requested_no_of_bits

Số lượng các bit giả ngẫu nhiên trả về từ hàm CTR_DRBG (...).

requested_strength

...

...

...

reseed_counter

Đếm số lượng các yêu cầu bit giả ngẫu nhiên khi khởi tạo hoặc thay mầm mới.

reseed_interval

Số lượng các yêu cầu tối đa để tạo các bit giả ngẫu nhiên trước khi yêu cầu thay mầm mới. Giá trị tối đa phải ≤ 2³² đối với mã khối 128 bit và ≤ 2¹⁶ đối với mã khối 64 bit.

seedlen

Độ dài mầm, trong đó seedlen = blocklen + keylen.

seed_material

Dữ liệu được sử dụng để tạo mầm.

state(state_handle)

...

...

...

state_handle

Xử lý đối với không gian trạng thái trong quá trình khởi tạo.

status

Trạng thái trả về từ một lần gọi hàm, trong đó status = “Thành công” hoặc một thông báo lỗi.

strength

Độ mạnh an toàn cho bộ tạo bit ngẫu nhiên tất định.

temp

Giá trị trung gian

V

...

...

...

C.3.2.2.2  Khởi tạo CTR_DRBG (...)

Quá trình sau đây hoặc tương đương được sử dụng để khởi tạo CTR_DRBG (...).

lnstantiate_CTR_DRBG (...):

Đầu vào: số nguyên (requested_strength, prediction_resistance_flag), xâu personalisation_string.

Đầu ra: xâu status, số nguyên state_handle.

Quá trình:

1. If (requested_strength > độ mạnh an toàn tối đa được thuật toán mã khối cung cấp), then Return (Thông báo lỗi).

2. If (requested_strength ≤ 80), then (strength = 80; keylen = 128)

Else if (requested_strength ≤ 112), then (strength = 112; keylen = 128)

...

...

...

Else if (requested_strength ≤ 192), then (strength = 192; keylen = 192)

Else (strength = 256; keylen = 256).

CHÚ THÍCH 1 Bước này thiết lập strength bằng một trong năm độ mạnh an toàn và xác định độ dài khóa.

3. seedlen = blocklen + keylen.

4. temp = len (personalisation_string).

5. If (temp > max_length), then Return (Thông báo lỗi).

CHÚ THÍCH 2 Nếu không cung cấp personalisation_string thì có thể bỏ qua personalisation_string trong tham số đầu vào và bước 4 và 5.

6. Đoạn mã sau được sử dụng khi hàm dẫn xuất sẵn sang (nguồn đủ độ bất định có thể sẵn sàng hoặc chưa sẵn sàng).

6.1  min_entropy = strength + 64.

...

...

...

6.3  If (status ≠ “Thành công”), then Return (Thông báo lỗi).

6.4  seed_material = entropy_input || personalisation_string.

CHÚ THÍCH 3 Nếu personalisation_string không được cung cấp trong bước 6.4 thì bước 6.4 có thể bỏ qua và bước 6.5 chuyển thành seed material = Block_Cipher df (entropy_input, seedlen).

6.5  seed_material = Block_Cipher_df (seed_material, seedlen).

7. Đoạn mã sau đây được sử dụng khi nguồn độ bất định đầy đủ đã sẵn sàng và hàm dẫn xuất không được sử dụng.

7.1  (status, entropy_input) = Get_entropy (seedlen, seedlen, seedlen).

7.2  If (status ≠ “Thành công”), then Return (Thông báo lỗi).

7.3  If (temp < seedlen), then personalisation_string = personalisation_string || 0^{seedien - temp}.

CHÚ THÍCH 4 Nếu personalisation_string quá ngắn thì phải được đệm thêm 0

...

...

...

CHÚ THÍCH 5 Nếu personalisation_string không được cung cấp ở trên thì các bước 7.3 và 7.4 được bỏ qua và bước 7.1 trở thành: (status, seed_material) = Get_entropy (seedlen, seedlen, seedlen).

8. Key = 0^keylen.

9. V = 0^blocklen.

10. (Key, V) = Update (seed_material, keylen, Key, V).

11. reseed_counter = 1.

12. state(state_handle) = {\/, Key, keylen, strength, reseed_counter, prediction_resistance_flag}.

CHÚ THÍCH 6 Nếu quá trình thực thi không cần prediction_resistance_flag làm tham số gọi (tức là CTR_DRBG (...) trong C.3.2.2.7 hoặc luôn luôn hoặc không bao giờ yêu cầu độ bất định mới trong bước 9), thì prediction_resistance_flag trong các tham số gọi và trong state (xem bước 12) được bỏ qua.

13. Return (“Thành công”, state_handle).

C.3.2.2.3  Hàm bên trong: Hàm cập nhật

...

...

...

Update (...):

Đầu vào: số nguyên keylen, xâu bit (seed_material, Key, V).

Đầu ra: xâu bit (Key, V).

Quá trình:

1. seedlen = blocklen + keylen.

2. temp = Null.

3. While (len (temp) < seedlen) do:

3.1  V = (V + 1) mod 2^blocklen.

3.2  output_block = Block_Cipher (Key, V).

...

...

...

4. temp = seedlen bit ngoài cùng bên trái của temp.

5. temp = temp  seed_material.

6. Key = keylen bit ngoài cùng bên trái của temp.

7. V = blocklen bit ngoài cùng bên phải của temp.

8. Return (Key, V).

C.3.2.2.4  Hàm dẫn xuất sử dụng một thuật toán mã khối

Cho CBC_MAC là hàm được quy định trong C.3.2.2.5. Cho Block_Cipher là một hoạt động mã hóa ở chế độ ECB sử dụng thuật toán mã khối đã lựa chọn. Cho outlen là khối đầu ra của nó, cho keylen là độ dài khóa.

Đầu vào:

1. Xâu bit input_string: Xâu được sử dụng.

...

...

...

Đầu ra: Xâu bit requested_bits: kết quả của việc thực hiện Block_Cipher_df.

Quá trình:

1. L = len (input_string) / 8.

CHÚ THÍCH 1 L là xâu bit biểu diễn số nguyên là kết quả của len (input_string) / 8. L được biểu diễn bằng một số nguyên 32 bit.

2. N = no_of_bits / 8.

CHÚ THÍCH 2 N là xâu bit biểu diễn số nguyên là kết quả của no_of_bits / 8. N được biểu diễn bằng một số nguyên 32 bit.

3. S = L || N || input_string || 0x80.

CHÚ THÍCH 3 Bước này thêm độ dài xâu và độ dài đầu ra yêu cầu vào input_string. Nếu cần thì đệm 0 vào S.

4. While (len (S) mod outlen # 0) S = S || 0x00.

...

...

...

6. i = 0.

CHÚ THÍCH 4 i được biểu diễn bởi một số nguyên 32 bit, tức là len(i) = 32.

7. K= keylen bit ngoài cùng bên trái của 0x00010203 ... 1F.

8. While (len (temp) < keylen + outlen) do:

8.1  IV = i || 0^{outlen-len (i)}.

CHÚ THÍCH 5 Bước này đệm thêm biểu diễn số nguyên của i và đệm thêm 0 để đạt outlen bit.

8.2  temp = temp || CBC_MAC (K,(IV || S)).

8.3  i = i + 1.

9. K = keylen bit ngoài cùng bên trái của temp.

...

...

...

11. temp = xâu rỗng.

12. While (len (temp) < no_of_bits) do:

12.1  X = Block_Cipher (K, X).

12.2  temp = temp || X.

13. requested_bits = no_of_bits ngoài cùng bên trái của temp.

14. Return (requested_bits).

C.3.2.2.5  Hàm CBC_MAC

Hàm CBC_MAC là một phương pháp để tính toán mã xác thực thông báo. Cho Block_Cipher là hoạt động mã hóa ở chế độ ECB sử dụng thuật toán mã khối đã lựa chọn. Cho outlen là khối đầu ra của nó, cho keylen là độ dài khóa.

Quá trình sau đây hoặc tương đương được sử dụng để dẫn xuất số lượng bit yêu cầu.

...

...

...

1. Xâu bit Key: Khóa được sử dụng cho hoạt động mã khối.

2. Xâu bit data_to_MAC: Dữ liệu được sử dụng.

Đầu ra: Xâu bit output_block: kết quả được trả về từ hoạt động CBC_MAC.

Quá trình:

1. chaining_value =0 ^outlen.

CHÚ THÍCH Bước này thiết lập giá trị chuỗi móc xích đầu tiên bằng outlen số 0.

2. n = len (data_to_MAC) / outlen.

3. Chia data_to_MAC thành n khối có độ dài outlen được biểu diễn từ block_i đến block_n.

4. For i = 1 to n do:

...

...

...

4.2  chaining_value = Block_Cipher (Key, input_block).

5. output_block = chaining_value.

6. Return output_block.

C.3.2.2.6  Thay mầm mới khi khởi tạo CTR_DRBG(...)

Quá trình sau đây hoặc tương đương được sử dụng để thay mầm mới ngầm định cho quá trình CTR_DRBG (...).

Reseed_CTR_DRBG_lnstantiation (...):

Đầu vào: số nguyên state_handle, xâu additional_input.

Đầu ra: xâu status.

Quá trình:

...

...

...

2. Lấy các giá trị trạng thái phù hợp, ví dụ: V = state(state_handle).V, Key = state(state_handle).Key, keylen = state(state_handle).keylen, strength = state(state_handle).strength, prediction_resistance_flag = state(state_handle).prediction_resistance_flag.

3. seedlen = blocklen + keylen.

4. temp = len (additional_input).

CHÚ THÍCH 1 Nếu quá trình thực thi không xử lý additional_input, thì tham số additional_input trong đầu vào có thể bỏ qua trong bước 4 và 5 dưới đây.

5. If (temp > max_length), then Return (thông báo lỗi).

6. Đoạn mã sau đây được sử dụng khi hàm dẫn xuất sẵn sàng (nguồn độ bất định đầy đủ có thể sẵn sàng hoặc chưa sẵn sàng).

6.1  min_entropy = strength + 64.

6.2  (status, entropy_input) = Get_entropy (min_entropy, min_entropy, max_length).

6.3  If (status ≠ “Thành công”), then Return (thông báo lỗi).

...

...

...