Fortuna (PRNG)

Generador de números pseudoaleatorios

Fortuna es un generador de números pseudoaleatorios criptográficamente seguro (CS-PRNG) ideado por Bruce Schneier y Niels Ferguson y publicado en 2003. Recibe su nombre de Fortuna , la diosa romana del azar. FreeBSD utiliza Fortuna para /dev/random y /dev/urandom está vinculado simbólicamente a él desde FreeBSD 11. ^[1] Los sistemas operativos de Apple han cambiado a Fortuna desde el primer trimestre de 2020. ^[2]

Diseño

Fortuna es una familia de PRNG seguros; su diseño deja algunas opciones abiertas a los implementadores. Está compuesta por las siguientes partes:

• El generador en sí, que una vez sembrado, producirá una cantidad indefinida de datos pseudoaleatorios.
• El acumulador de entropía , que recoge datos genuinamente aleatorios de varias fuentes y los utiliza para volver a alimentar el generador cuando ha llegado suficiente aleatoriedad nueva.
• El archivo semilla, que almacena suficiente estado para permitir que la computadora comience a generar números aleatorios tan pronto como se haya iniciado.

Generador

El generador se basa en cualquier buen cifrador de bloques . Practical Cryptography sugiere AES , Serpent o Twofish . La idea básica es ejecutar el cifrado en modo contador , cifrando los valores sucesivos de un contador que se incrementa.

Con un cifrado de bloques de 128 bits, esto produciría desviaciones estadísticamente identificables de la aleatoriedad; por ejemplo, la generación de 2 ⁶⁴ bloques de 128 bits genuinamente aleatorios produciría en promedio alrededor de un par de bloques idénticos, pero no hay bloques repetidos en absoluto entre los primeros 2 ¹²⁸ producidos por un cifrado de 128 bits en modo contador. Por lo tanto, la clave se cambia periódicamente: no se genera más de 1 MiB de datos (2 ¹⁶ bloques de 128 bits) sin un cambio de clave. El libro señala que los cifrados de bloques con un tamaño de bloque de 256 bits (o mayor), que no gozaron de mucha popularidad en ese momento, no tienen este problema estadístico.

La clave también se cambia después de cada solicitud de datos (por pequeña que sea), de modo que una futura vulneración de la clave no ponga en peligro los resultados del generador anterior. Esta propiedad a veces se describe como "borrado rápido de clave" o secreto de reenvío .

Acumulador de entropía

El acumulador de entropía está diseñado para ser resistente a ataques de "inyección", sin necesidad de estimadores sofisticados (e inevitablemente poco fiables) de entropía. Hay varios "pools" de entropía; cada fuente de entropía distribuye su supuesta entropía de manera uniforme entre los pools; y (aquí está la idea clave) en la n ª resiembra del generador, el pool k se utiliza sólo si n es un múltiplo de 2 ^k . Por lo tanto, el k º pool se utiliza sólo 1/2 ^k del tiempo. Los pools con números más altos, en otras palabras, (1) contribuyen a las resiembras con menos frecuencia pero (2) recogen una mayor cantidad de entropía entre resiembras. La resiembra se realiza mediante el hash de los pools de entropía especificados en la clave del cifrado de bloque utilizando dos iteraciones de SHA-256 .

Siembra

A menos que un atacante pueda controlar todas las fuentes de supuesta entropía que fluyen hacia el sistema (en cuyo caso ningún algoritmo puede salvarlo de ser comprometido), habrá algunas k para las cuales el k- ésimo grupo recopile suficiente entropía entre resiembras como para que una resiembra con ese grupo garantice la seguridad. Y ese grupo se utilizará en un intervalo proporcional a la cantidad de entropía en cuestión. Por lo tanto, el sistema siempre se recuperará de un ataque de inyección, y el tiempo que tarda en hacerlo es, como máximo, un factor constante mayor que el tiempo teórico que podría tardar si pudiéramos identificar qué fuentes de entropía estaban corruptas y cuáles no.

Esta conclusión depende de que haya suficientes pools. Fortuna utiliza 32 pools y limita la resiembra a un máximo de 10 veces por segundo. Quedarse sin pools llevaría entonces unos 13 años, tiempo que Ferguson y Schneier consideran suficiente para fines prácticos. Los implementadores más paranoicos, o aquellos que requieran la generación de datos aleatorios a un ritmo colosal y una resiembra frecuente correspondiente, podrían utilizar un mayor número de pools.

Alternativas

Fortuna se diferencia de la familia de algoritmos Yarrow de Schneier, Kelsey y Ferguson en su manejo del acumulador de entropía. Yarrow requería que cada fuente de entropía estuviera acompañada de un mecanismo para estimar la entropía real suministrada y utilizaba solo dos grupos; y su realización sugerida (llamada Yarrow-160 ) utilizaba SHA-1 en lugar de SHA-256 iterado .

Análisis

En 2014 se realizó un análisis y una propuesta de mejora de Fortuna. ^[3]

Véase también

• Blum Blum Shub
• Criptografía aleatoria
• Ataque con generador de números aleatorios
• Algoritmo de milenrama

Referencias

1. "random(4)". www.freebsd.org . Consultado el 1 de octubre de 2020 .
2. "Generación de números aleatorios". Soporte técnico de Apple . Consultado el 26 de octubre de 2020 .
3. Y. Dodis, A. Shamir, N. Stephens-Davidowitz, D. Wichs, "Cómo consumir su entropía y conservarla también: estrategias de recuperación óptimas para generadores de números aleatorios comprometidos", Archivo de impresión electrónica de criptología , Informe 2014/167, 2014. https://eprint.iacr.org/2014/167.pdf

General

• Niels Ferguson y Bruce Schneier, Practical Cryptography , publicado por Wiley en 2003. ISBN 0-471-22357-3 . 
• John Viega, "Generación práctica de números aleatorios en software", acsac, págs. 129, 19.ª Conferencia anual sobre aplicaciones de seguridad informática (ACSAC '03), 2003

Enlaces externos

• "Fortuna en el sitio web de Bruce Schneier".

• Ferguson, Niels ; Schneier, Bruce ; Kohno, Tadayoshi (2010). "Capítulo 9: Generación de aleatoriedad" (PDF) . Ingeniería criptográfica: principios de diseño y aplicaciones prácticas . Wiley Publishing, Inc. ISBN 978-0-470-47424-2. Archivado desde el original (PDF) el 29 de julio de 2020.

• "Biblioteca criptográfica Javascript". Incluye una implementación Javascript de Fortuna PRNG .

• Cooke, Jean-Luc (2005). "Explicación y mejoras de /dev/random según jlcooke". Parche que añade una implementación de Fortuna al núcleo de Linux .

• Litzenberger, Dwayne (2013-10-20). "Implementación de Fortune en Python, parte del kit de herramientas de criptografía de Python". GitHub .

• Dodis, Yevgeniy; Shamir, Adi; Stephens-Davidowitz, Noah; Wichs, Daniel (14 de marzo de 2014). "Cómo consumir tu entropía y conservarla: estrategias de recuperación óptimas para generadores de números aleatorios comprometidos". Archivo de ePrints de criptología .

• "Implementación de Fortune en C++14". Incluye servidor de ejemplo, fuentes de entropía y cliente de línea de comandos . 2015-06-01.