Entropía completa

Propiedad criptográfica de la salida aleatoria

En criptografía, la entropía total es una propiedad de la salida de un generador de números aleatorios . La salida tiene entropía total si no se puede distinguir prácticamente de la salida de una fuente teórica de números aleatorios perfectos (tiene casi n bits de entropía para una salida de n bits). ^[1]

El término se utiliza ampliamente en los estándares de generadores aleatorios NIST SP 800-90A y NIST SP 800-90B . Con entropía total, la entropía por bit en la salida del generador de números aleatorios es cercana a uno: , donde según NIST un . práctico . ^[1] ${\displaystyle 1-\epsilon }$ ${\displaystyle \epsilon <2^{-32}}$

Algunas fuentes utilizan el término para definir la cadena de bits aleatoria ideal (un bit de entropía por bit de salida). En este sentido, "llegar al 100% de entropía total es imposible" en el mundo real. ^[2]

Definición

La definición matemática se basa en un "juego de distinción": a un adversario con un poder de cómputo ilimitado se le proporcionan dos conjuntos de números aleatorios, cada uno de los cuales contiene W elementos de longitud n. Un conjunto es ideal , contiene cadenas de bits del generador de números aleatorios teóricamente perfecto, el otro conjunto es real e incluye cadenas de bits de la fuente de números aleatorios práctica después de un extractor de aleatoriedad . La entropía completa para valores particulares de W y parámetro positivo se logra si un adversario no puede adivinar el conjunto real con una probabilidad mayor que . ^[3] ${\displaystyle \delta }$ ${\displaystyle {\frac {1}{2}}+\delta }$

Entropía adicional

La forma práctica de lograr la entropía completa es obtener de una fuente de entropía cadenas de bits más largas que n bits, aplicarles un extractor de aleatoriedad de alta calidad que produzca el resultado de n bits y construir el conjunto real a partir de estos resultados. Los elementos ideales por naturaleza tienen un valor de entropía de n. Las entradas de la función de condicionamiento deberán tener un valor de entropía mínima más alto H para satisfacer la definición de entropía completa. El número de bits adicionales de entropía Hn depende de W y ; la siguiente tabla contiene algunos valores representativos: ^[4] ${\displaystyle \delta }$

Requisitos del extractor de aleatoriedad

No todos los extractores de aleatoriedad producirán los resultados deseados. Por ejemplo, el extractor de Von Neumann , si bien proporciona una salida imparcial, no descorrelaciona grupos de bits, por lo que para entradas correlacionadas en serie (típico para muchas fuentes de entropía ), los bits de salida no serán independientes . ^[5] Por lo tanto, el NIST define los "componentes de condicionamiento examinados" en su estándar NIST SP 800-90B , incluido AES - CBC-MAC . ^[5]

Referencias

1. Buller et al. 2023, pág. i.
2. Johnston 2018, pág. 18.
3. Buller y otros. 2023, pág. 1.
4. Buller y otros. 2023, pág. 2.
5. Johnston 2018, pág. 16.

Fuentes

• Buller, Darryl; Kaufer, Aaron; Roginsky, Allen; Turan, Meltem Sönmez (abril de 2023). "Informe interinstitucional del NIST NIST IR 8427 Discusión sobre el supuesto de entropía total de la serie SP 800-90" (PDF) . NIST . doi :10.6028/NIST.IR.8427.ipd . Consultado el 1 de noviembre de 2023 .
• Johnston, D. (2018). Generadores de números aleatorios: principios y prácticas: una guía para ingenieros y programadores. De Gruyter. ISBN 978-1-5015-0606-2. Consultado el 1 de noviembre de 2023 .