隨機(jī)數(shù)在加密中被廣泛使用。它們可以構(gòu)成關(guān)鍵安全參數(shù)（CSP）的基礎(chǔ)，例如用于通過(guò)公共互聯(lián)網(wǎng)進(jìn)行交易的加密密鑰。

通常，試圖破壞加密的攻擊者將專注于在隨機(jī)數(shù)中查找或誘導(dǎo)可利用的模式，這使得比使用暴力搜索更有效地猜測(cè)密鑰。攻擊者可以采用許多不同的技術(shù)，例如改變電壓和溫度以嘗試破壞噪聲源的正常運(yùn)行，或者使用其控制下的幾乎相同的隨機(jī)數(shù)發(fā)生器（RNG）的輸出來(lái)幫助預(yù)測(cè)RNG在受攻擊系統(tǒng)中的輸出。

用作加密密鑰的劣質(zhì)隨機(jī)數(shù)可能會(huì)危及使用該密鑰處理的所有消息或數(shù)據(jù)的安全性。當(dāng) RNG 不提供預(yù)測(cè)電阻時(shí)，使用受危害的 RNG 創(chuàng)建新的加密密鑰是不夠的，并且在重新設(shè)定 RNG 種子之前，所有未來(lái)的消息和數(shù)據(jù)都處于危險(xiǎn)之中。定義“低質(zhì)量”充滿了困難，因?yàn)樽C明一串?dāng)?shù)據(jù)是隨機(jī)的還是不是隨機(jī)的，是一項(xiàng)復(fù)雜而漫長(zhǎng)的工作。幸運(yùn)的是，從相反的方向看問(wèn)題可以為什么是密碼學(xué)上可接受的隨機(jī)數(shù)提供答案。

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）推薦一種適合嵌入FPGA或SoC的方法（規(guī)格SP800-90A /B /C）SP800-90A定義了確定性隨機(jī)位發(fā)生器（DRBG），它是一種基于高級(jí)加密算法（AES）算法的純數(shù)字電路。SB800-90B中考慮并定義了硬件噪聲源，包括測(cè)試電路，這些電路可用于在系統(tǒng)中檢測(cè)其輸出是否不再是隨機(jī)的（例如，由于篡改或故障），并進(jìn)行統(tǒng)計(jì)測(cè)試以鑒定特定電路是否可用作硬件噪聲源。SP800-90C考慮了如何在系統(tǒng)中組合DRBG和噪聲源。將基于加密算法的DRBG與物理噪聲源相結(jié)合，產(chǎn)生一個(gè)RNG，該RNG提供兩全其美，基于硬件噪聲源的預(yù)測(cè)電阻以及加密算法的保證統(tǒng)計(jì)特性。

RNG內(nèi)核包括完成此任務(wù)的電路。它包括一個(gè)完整的AES內(nèi)核，作為設(shè)計(jì)的關(guān)鍵部分。AES 算法的一種標(biāo)準(zhǔn)使用模式稱為計(jì)數(shù)器 （CTR） 模式。在此模式下，計(jì)數(shù)器中的值使用密鑰進(jìn)行加密，以生成有效的隨機(jī) 128 位位塊。然后，通過(guò)使用隨機(jī)位對(duì)數(shù)據(jù)進(jìn)行XOR來(lái)加密或解密數(shù)據(jù)。計(jì)數(shù)器和 AES 單元在自動(dòng)屏蔽點(diǎn)擊率中的組合就像一個(gè) DRBG。它產(chǎn)生一系列隨機(jī)數(shù)，其值對(duì)于任何知道密鑰的人來(lái)說(shuō)都是完全可預(yù)測(cè)的，但是如果沒(méi)有密鑰，則很難確定。如果AES單元的密鑰取自物理噪聲源（播種DRBG），我們就有了SP800-90A中規(guī)定的CTR-DRBG方案的基本基礎(chǔ)。

SP800-90A中的系統(tǒng)更進(jìn)一步，提供不少于三組其他輸入以及物理噪聲（稱為熵）。

在為 RNG 構(gòu)造種子時(shí)，隨機(jī)數(shù)輸入與熵輸入一起使用。Nonce確保計(jì)算出的種子不僅僅依賴于熵，并且保證在每次實(shí)例化中都會(huì)發(fā)生變化。Nonce 數(shù)據(jù)可以是簡(jiǎn)單的計(jì)數(shù)器，也可以是從時(shí)間戳派生的，但每次使用都必須不同，并防止篡改。

個(gè)性化字符串輸入是實(shí)例化 RNG 時(shí)使用的另一個(gè)可選輸入。這可能是每臺(tái)計(jì)算機(jī)不同的序列號(hào)。這可確保 RNG 的兩個(gè)副本的行為不同，并防止攻擊者獲取包含 RNG 的產(chǎn)品副本，以預(yù)測(cè)目標(biāo)副本中的 RNG 的行為方式。

附加輸入提供了一種機(jī)制，用于向 DRBG 包含其他熵。例如，在設(shè)計(jì)中通常很容易找到一組信號(hào)，這些信號(hào)看起來(lái)好像它們的值本質(zhì)上是隨機(jī)的，但很難將它們限定為SP800-90B所需的噪聲源。使用額外的輸入，這些位可以“攪拌到湯中”，即使它們沒(méi)有好處，至少它們不會(huì)造成傷害。如果主熵源受到損害，這將提供額外的保護(hù)層。

DRBG以復(fù)雜但完全確定的方式組合了各種輸入。它依賴于AES算法的安全屬性，以確保攻擊者無(wú)法預(yù)測(cè)或反向工程系統(tǒng)輸出，前提是攻擊者無(wú)法訪問(wèn)所有輸入（包括AES密鑰）。

系統(tǒng)的確定性性質(zhì)對(duì)于系統(tǒng)中最后一個(gè)重要塊（稱為運(yùn)行狀況檢查）的操作至關(guān)重要。啟動(dòng)時(shí)，它會(huì)將RNG與任何其他信號(hào)隔離開(kāi)來(lái)，加載測(cè)試數(shù)據(jù)，并將輸出與一組已知答案進(jìn)行比較。運(yùn)行狀況檢查在重置后根據(jù)請(qǐng)求自動(dòng)啟動(dòng)，例如，如果系統(tǒng)的另一部分檢測(cè)到攻擊。如果運(yùn)行狀況檢查失?。ǚQ為災(zāi)難性錯(cuò)誤），則邏輯設(shè)計(jì)為鎖定以阻止輸出任何不可靠的數(shù)據(jù)。在發(fā)生災(zāi)難性錯(cuò)誤后，需要通過(guò)重啟電源或重新配置FPGA來(lái)復(fù)位系統(tǒng)。

除了所描述的DRBG電路之外，還需要熵源。在純數(shù)字系統(tǒng)中，常見(jiàn)的選擇是自由運(yùn)行的環(huán)形振蕩器，用于計(jì)時(shí)計(jì)數(shù)器。計(jì)數(shù)器的最低有效“n”位用作 n 位種子。環(huán)形振蕩器的頻率無(wú)法從外部準(zhǔn)確確定，因?yàn)樗鼤?huì)隨著電源電壓上的熱變化和噪聲而略有不同。如果環(huán)形振蕩器運(yùn)行相當(dāng)長(zhǎng)的時(shí)間，并且計(jì)數(shù)器相對(duì)較?。◣孜唬?，則計(jì)數(shù)器值將在很大程度上是隨機(jī)的。這個(gè)和許多其他物理噪聲源的一個(gè)明顯問(wèn)題是，可能需要比物理噪聲源所能提供的隨機(jī)值更頻繁地需要隨機(jī)值。DRBG允許在從物理噪聲源定期重新播種之間生成多個(gè)隨機(jī)數(shù)。

RNG可能聽(tīng)起來(lái)很復(fù)雜（確實(shí)如此），但加密算法的強(qiáng)度取決于提供給它的密鑰。因此，RNG是安全系統(tǒng)的重要組成部分。

審核編輯：郭婷