seeding random number generators
play

Seeding Random Number Generators Jesse Walker Intel - PowerPoint PPT Presentation

Feb 11, 2023 •376 likes •513 views

Seeding Random Number Generators Jesse Walker Intel Corpora:on Intel Labs Circuits and System Research Security Research Lab 1 Agenda The problem

  1. Seeding ¡Random ¡Number ¡ Generators ¡ Jesse ¡Walker ¡ Intel ¡Corpora:on ¡ Intel ¡Labs ¡ Circuits ¡and ¡System ¡Research ¡ Security ¡Research ¡Lab ¡ 1 ¡

  2. Agenda ¡ • The ¡problem ¡ • RNG ¡Seeding ¡Requirements ¡ • Example ¡1: ¡Intel’s ¡new ¡hardware ¡RNG ¡ • Example ¡2: ¡Fixing ¡low-­‑entropy ¡key ¡genera:on ¡ 2 ¡

  3. The ¡Problem ¡ • In ¡February ¡2012 ¡Arjlen ¡Lenstra ¡et ¡al ¡posted ¡a ¡paper ¡:tled ¡ “Ron ¡was ¡Wrong, ¡Whit ¡was ¡Right” ¡ • Reported ¡that ¡the ¡moduli ¡of ¡thousands ¡of ¡RSA ¡keys ¡on ¡ deployed ¡systems ¡share ¡prime ¡factors ¡and ¡hence ¡provide ¡ no ¡security ¡ – If ¡ N = pq and ¡ N ʹ″ = pq ʹ″ are ¡two ¡RSA ¡moduli, ¡then ¡ gcd( N , N ʹ″ ) = p and ¡we ¡can ¡trivially ¡find ¡ q ¡and ¡ q ʹ″ • Review ¡of ¡an ¡affected ¡product: ¡ – Uses ¡OpenSSL ¡to ¡generate ¡its ¡RSA ¡keys ¡ – As ¡far ¡as ¡we ¡know, ¡the ¡OpenSSL ¡RNG ¡is ¡competent ¡ – As ¡far ¡as ¡we ¡know, ¡the ¡OpenSSL ¡prime ¡number ¡generator ¡is ¡ competent ¡ – The ¡problem ¡must ¡be ¡somewhere ¡else? ¡ The ¡Problem ¡ 3 ¡

  4. Key ¡Genera:on ¡Procedure ¡ • RSA ¡key ¡is ¡generated ¡when ¡the ¡product ¡is ¡ manufactured ¡ • The ¡RSA ¡key ¡is ¡generated ¡using ¡the ¡following ¡ procedure: ¡ – Step ¡1: ¡Set ¡the ¡system ¡clock ¡to ¡Midnight, ¡January ¡1, ¡1970 ¡ – Step ¡2: ¡Then ¡use ¡:me ¡to ¡seed ¡the ¡OS ¡RNG ¡ – Step ¡3: ¡Use ¡the ¡OS ¡RNG ¡to ¡generate ¡32 ¡words ¡ – Step ¡4: ¡Use ¡the ¡32 ¡words ¡to ¡seed ¡the ¡OpenSSL ¡RNG ¡ – Step ¡5: ¡Run ¡the ¡OpenSSL ¡RSA ¡key ¡genera:on ¡func:on ¡ • Oops ¡ • This ¡is ¡a ¡common ¡idiom; ¡can ¡we ¡do ¡be`er? ¡ The ¡Problem ¡ 4 ¡

  5. Requirements ¡ Requirement ¡1. ¡An ¡RNG ¡must ¡be ¡seeded ¡from ¡an ¡ignorance ¡source ¡ • – Ignorance ¡source ¡is ¡usually ¡called ¡an ¡entropy ¡source ¡ – Ignorance ¡source ¡means ¡we ¡do ¡not ¡know ¡the ¡internal ¡state ¡of ¡the ¡source ¡ Requirement ¡2. ¡Our ¡ignorance ¡of ¡the ¡source ¡must ¡be ¡necessary ¡ • – This ¡means ¡the ¡source ¡has ¡a ¡well-­‑defined ¡min-­‑entropy, ¡and ¡our ¡ignorance ¡of ¡ some ¡of ¡its ¡state ¡is ¡necessary ¡ Requirement ¡3. ¡It ¡must ¡be ¡unlikely ¡an ¡adversary ¡can ¡make ¡the ¡same ¡ • measurements ¡of ¡the ¡source ¡we ¡make ¡ – Because ¡the ¡seed ¡is ¡supposed ¡to ¡be ¡a ¡secret ¡ Requirement ¡4. ¡A ¡seed ¡must ¡be ¡extracted ¡from ¡the ¡source ¡ • – Because ¡the ¡samples ¡from ¡the ¡source ¡will ¡never ¡be ¡ideal ¡ Requirement ¡5. ¡The ¡ignorance ¡source ¡must ¡be ¡simple ¡enough ¡to ¡be ¡ • modeled ¡and ¡validated ¡ – Because ¡otherwise ¡we ¡don’t ¡know ¡when ¡it ¡is ¡doing ¡something ¡useful ¡ RNG ¡Seeding ¡Requirements ¡ 5 ¡

  6. Conceptual ¡Framework ¡ Sta:s:cal ¡ Tests ¡ Sufficient ¡min-­‑ Rekey ¡the ¡Extractor ¡ entropy ¡yet? ¡ Extracted ¡ entropy ¡ Entropy ¡ Extractor ¡ PRNG ¡ Source ¡ Min-­‑ entropy ¡ Select ¡ Universal ¡ hash ¡family ¡ member ¡ RNG ¡Seeding ¡Requirements ¡ 6 ¡

  7. Entropy ¡Source ¡for ¡Intel’s ¡HW ¡RNG ¡ • Our ¡extractor ¡is ¡AES-­‑CBC-­‑MAC – In ¡a ¡Crypto ¡2004 ¡Dodis ¡et ¡al ¡showed ¡CBC-­‑MAC ¡of ¡ b ¡block ¡strings ¡is ¡a ¡ (1+ η )/2 n -­‑ universal ¡hash ¡family, ¡where ¡ η = O( b 3 /2 2 n ) ¡and ¡ n ¡is ¡the ¡block ¡size ¡ • By ¡the ¡Lehover ¡Hash ¡Lemma, ¡with ¡this ¡universal ¡hash ¡family ¡ we ¡need ¡382 ¡bits ¡= ¡3 ¡AES ¡blocks ¡of ¡min-­‑entropy ¡from ¡our ¡ sample ¡to ¡produce ¡a ¡full ¡entropy ¡output ¡with ¡AES-­‑CBC-­‑MAC ¡ • This ¡should ¡fulfill ¡requirement ¡4 ¡ Example ¡1: ¡Intel’s ¡new ¡Hardware ¡RNG ¡ 7 ¡

  8. Entropy ¡Source ¡ ¡The ¡entropy ¡source ¡in ¡Intel’s ¡new ¡RNG ¡is ¡latch ¡built ¡from ¡a ¡ pair ¡of ¡cross-­‑coupled ¡inverters ¡ — Circuit ¡assumes ¡two ¡stable ¡(0/1) ¡and ¡one ¡unstable ¡state ¡(meta-­‑stable) ¡ — Circuit ¡powered ¡on ¡in ¡the ¡meta-­‑stable ¡state ¡ — Circuit ¡held ¡in ¡meta-­‑stable ¡state ¡un:l ¡Johnson ¡thermal ¡noise ¡resolves ¡ circuit’s ¡value ¡to ¡0 ¡or ¡1 ¡ — Aher ¡the ¡circuit ¡resolves ¡and ¡outputs ¡one ¡bit ¡value, ¡power ¡it ¡off ¡ — Repeat ¡at ¡machine ¡clock ¡rate ¡ This ¡should ¡fulfill ¡requirement ¡1 ¡ Example ¡1: ¡Intel’s ¡new ¡Hardware ¡RNG ¡ 8 ¡

  9. Entropy ¡Source ¡Models ¡ This ¡entropy ¡source ¡circuit ¡is ¡simple ¡enough ¡to ¡model ¡faithfully ¡ • We ¡created ¡several ¡models ¡that ¡can ¡be ¡used ¡to ¡validate ¡the ¡hardware ¡ • – All ¡the ¡models ¡can ¡be ¡configured ¡with ¡thermal ¡and ¡electrical ¡characteris:cs ¡of ¡ the ¡circuit ¡design ¡ The ¡most ¡explanatory ¡model ¡is ¡an ¡Ornstein-­‑Uhlenbeck ¡process ¡ • – Over ¡:me ¡an ¡Ornstein-­‑Uhlenback ¡process ¡tends ¡to ¡drih ¡toward ¡its ¡long-­‑term ¡ mean ¡ – A ¡digital ¡latch ¡tends ¡to ¡resolve ¡to ¡its ¡previous ¡state, ¡so ¡our ¡circuit ¡slightly ¡ biases ¡the ¡next ¡output ¡slightly ¡ The ¡sta:s:cal ¡tests ¡con:nuous ¡validate ¡the ¡entropy ¡source ¡conforms ¡to ¡its ¡ • model ¡ This ¡should ¡fulfill ¡requirements ¡2 ¡and ¡5 ¡ • Example ¡1: ¡Intel’s ¡new ¡Hardware ¡RNG ¡ 9 ¡

  10. Fixing ¡reseed ¡(:me ¡(0))? ¡ Measure ¡a ¡source ¡of ¡ignorance ¡ • – e.g., ¡the ¡latency ¡of ¡a ¡system ¡call ¡ unsigned before, after, entropy ; before = read_TSC (); usleep (0); after = read_TSC (); entropy = ( after – before ) & 0x0ff; Repeat until sufficient entropy harvested ¡ Intui:vely ¡the ¡scheduler ¡should ¡be ¡a ¡source ¡of ¡ignorance ¡ • – It ¡asks ¡the ¡scheduler ¡to ¡run ¡any ¡other ¡ready ¡thread ¡and ¡return ¡immediately ¡if ¡ there ¡is ¡no ¡other ¡ready ¡thread ¡ – We ¡don’t ¡know ¡which ¡thread ¡will ¡be ¡ready ¡next, ¡nor ¡how ¡long ¡it ¡will ¡run ¡ – Seems ¡to ¡sa:sfy ¡requirement ¡1 ¡ Example ¡2: ¡Fixing ¡low ¡entropy ¡key ¡genera:on ¡ 10 ¡

  11. Analysis ¡ The ¡proposed ¡source ¡only ¡works ¡for ¡applica:ons ¡ • – Any ¡kernel-­‑space ¡code ¡can ¡poten:ally ¡read ¡the ¡source’s ¡state ¡ – Can ¡be ¡a`acked ¡by ¡infec:ng ¡libc, ¡which ¡hopefully ¡is ¡not ¡a ¡problem ¡during ¡ manufacturing ¡– ¡requirement ¡3 ¡sa:sfied ¡ Empirical ¡measurement ¡on ¡mul:ple ¡instances ¡of ¡the ¡target ¡hardware ¡ • showed ¡that ¡the ¡source ¡can ¡be ¡modeled ¡as ¡an ¡AR(1) ¡process ¡ – The ¡computed ¡min-­‑entropy ¡of ¡4.9 ¡bits/byte ¡appears ¡consistent ¡with ¡empirical ¡ measurement ¡on ¡the ¡target ¡plaporm ¡ – Empirically ¡it ¡seems ¡to ¡sa:sfy ¡requirement ¡2 ¡ We ¡got ¡lucky ¡– ¡the ¡process ¡isn’t ¡even ¡sta:onary ¡with ¡the ¡same ¡OS ¡on ¡ • other ¡hardware ¡ – This ¡sohware ¡entropy ¡source ¡is ¡not ¡portable ¡across ¡plaporms ¡without ¡ extensive ¡rework ¡ Example ¡2: ¡Fixing ¡low ¡entropy ¡key ¡genera:on ¡ 11 ¡

Recommend

Random numbers We have seen that in many applications we need random number generators For

Random numbers We have seen that in many applications we need random number generators For

Random numbers We have seen that in many applications we need random number generators For example we sue random number generator to obtain session keys; to avoid key guessing If an adversary sees a sequence of session keys He/she

426 views • 16 slides
Draft History of Random Number Generators Seed x 0 , x i = f ( x i 1 ) , u i = g ( x i )

Draft History of Random Number Generators Seed x 0 , x i = f ( x i 1 ) , u i = g ( x i )

1 Draft History of Random Number Generators Seed x 0 , x i = f ( x i 1 ) , u i = g ( x i ) Pierre LEcuyer 2 Draft Once upon a time, ... 5000 years ago Dice, coins, and other devices were used long ago to make random selections

815 views • 50 slides
Introduction to Pseudo-Random Number Generators Nicola Gigante March 9, 2016 Why random

Introduction to Pseudo-Random Number Generators Nicola Gigante March 9, 2016 Why random

Introduction to Pseudo-Random Number Generators Nicola Gigante March 9, 2016 Why random numbers? Lifes most important questions are, for the most part, nothing but probability problems. Pierre-Simon de Laplace 2 Why random numbers?

684 views • 55 slides
Introduction to Pseudo-Random Number Generators Nicola Gigante December 21, 2016 Why random

Introduction to Pseudo-Random Number Generators Nicola Gigante December 21, 2016 Why random

Introduction to Pseudo-Random Number Generators Nicola Gigante December 21, 2016 Why random numbers? Lifes most important questions are, for the most part, nothing but probability problems. Pierre-Simon de Laplace 2 Why random numbers?

1.37k views • 63 slides
ECEN 5022 Cryptography Pseudo Random Number Generators Peter Mathys University of Colorado

ECEN 5022 Cryptography Pseudo Random Number Generators Peter Mathys University of Colorado

Pseudo Random Number Generators ECEN 5022 Cryptography Pseudo Random Number Generators Peter Mathys University of Colorado Spring 2008 Peter Mathys ECEN 5022 Cryptography Pseudo Random Number Generators Random Number Generation Random

352 views • 14 slides
Draft History of Random Number Generators Seed x 0 , x i = f ( x i 1 ) , u i = g ( x i )

Draft History of Random Number Generators Seed x 0 , x i = f ( x i 1 ) , u i = g ( x i )

1 Draft History of Random Number Generators Seed x 0 , x i = f ( x i 1 ) , u i = g ( x i ) Pierre LEcuyer Ecole Polytechnique, Palaiseau, D ec. 2017 2 Draft Once upon a time, ... 5000 years ago Dice, coins, and other devices

1.35k views • 85 slides
Random number generators and random processes Eugeniy E. Mikhailov The College of William &

Random number generators and random processes Eugeniy E. Mikhailov The College of William &

Random number generators and random processes Eugeniy E. Mikhailov The College of William & Mary Lecture 11 Eugeniy Mikhailov (W&M) Practical Computing Lecture 11 1 / 11 Statistics and probability intro Mathematical and physical

551 views • 17 slides
Draft 1 On the Lattice Structure of MIXMAX Random Number Generators Pierre LEcuyer Joint

Draft 1 On the Lattice Structure of MIXMAX Random Number Generators Pierre LEcuyer Joint

Draft 1 On the Lattice Structure of MIXMAX Random Number Generators Pierre LEcuyer Joint work with Paul Wambergue, Erwan Bourceret, and Marc-Antoine Savard MCQMC, Rennes, July 2018 Draft 2 MIXMAX Generators [Akopov, Savvidy, et al.

508 views • 19 slides
AMath 483/583 Lecture 26 Outline: Monte Carlo methods Random number generators

AMath 483/583 Lecture 26 Outline: Monte Carlo methods Random number generators

AMath 483/583 Lecture 26 Outline: Monte Carlo methods Random number generators Monte Carlo integrators Random walk solution of Poisson problem R.J. LeVeque, University of Washington AMath 483/583, Lecture 26 Announcements

587 views • 41 slides
Canary Numbers: Design for Light-weight Online Testability of True Random Number Generators

Canary Numbers: Design for Light-weight Online Testability of True Random Number Generators

Canary Numbers: Design for Light-weight Online Testability of True Random Number Generators Vladimir Roi, Bohan Yang, Nele Mentens and Ingrid Verbauwhede Acknowledgment This work is supported in part by the European Commission through the

348 views • 19 slides
Random Number Generators: Design Principles and Statistical Testing Pierre LEcuyer Mixmax

Random Number Generators: Design Principles and Statistical Testing Pierre LEcuyer Mixmax

1 Random Number Generators: Design Principles and Statistical Testing Pierre LEcuyer Mixmax Workshop, CERN, Geneva, July 2016 2 What do we want? Sequences of numbers that look random. 2 What do we want? Sequences of numbers that look

1.31k views • 128 slides
Analysis of the Linux Random Number Generator Patrick Lacharme, Andrea R ock, Vincent Stubel,

Analysis of the Linux Random Number Generator Patrick Lacharme, Andrea R ock, Vincent Stubel,

Analysis of the Linux Random Number Generator Patrick Lacharme, Andrea R ock, Vincent Stubel, Marion Videau October 23, 2009 - Rennes Outline Random Number Generators The Linux Random Number Generator Building Blocks Entropy Estimation

681 views • 55 slides
Security of Pseudo-Random Number Generators With Input Damien Vergnaud cole normale

Security of Pseudo-Random Number Generators With Input Damien Vergnaud cole normale

Security of Pseudo-Random Number Generators With Input Damien Vergnaud cole normale suprieure INRIA PSL wr0ng April, 30th 2017 (with Yevgeniy Dodis, David Pointcheval, Sylvain Ruhault & Daniel Wichs) Damien Vergnaud (ENS)

694 views • 57 slides
Random Number Generators for Cryptography Design and Evaluation Viktor F ISCHER Laboratoire

Random Number Generators for Cryptography Design and Evaluation Viktor F ISCHER Laboratoire

TRNG Design TRNG Classes Conclusions Random Number Generators for Cryptography Design and Evaluation Viktor F ISCHER Laboratoire Hubert Curien, UMR 5516 CNRS Jean Monnet University, Member of University of Lyon Saint-Etienne, France

675 views • 52 slides
Evaluating Entropy for True Random Number Generators orski 1 Maciej Sk IST Austria WR0NG 2017,

Evaluating Entropy for True Random Number Generators orski 1 Maciej Sk IST Austria WR0NG 2017,

Evaluating Entropy for True Random Number Generators orski 1 Maciej Sk IST Austria WR0NG 2017, 30th April, Paris 1 Supported by the European Research Council consolidator grant (682815-TOCNeT) Maciej Sk orski (IST Austria) Evaluating

655 views • 49 slides
Pseudo-Random Number Generators Functional Programming and Intelligent Algorithms Prof Hans Georg

Pseudo-Random Number Generators Functional Programming and Intelligent Algorithms Prof Hans Georg

Pseudo-Random Number Generators Functional Programming and Intelligent Algorithms Prof Hans Georg Schaathun Hgskolen i lesund 14th February 2017 1 Randomness 1. What is randomness? 2 Randomness 1. What is randomness? 2. How do we

590 views • 22 slides
The Frequency Injection Attack on Ring-Oscillator-Based True Random Number Generators A.

The Frequency Injection Attack on Ring-Oscillator-Based True Random Number Generators A.

The Frequency Injection Attack on Ring-Oscillator-Based True Random Number Generators A. Theodore Markettos and Simon Moore www.cl.cam.ac.uk/research/security Computer Laboratory A.T. Markettos and S. W. Moore, The Frequency Injection Attack

796 views • 30 slides
The Scalable Parallel Random Number Generators (SPRNG) Library and Modern Computer Architectures

The Scalable Parallel Random Number Generators (SPRNG) Library and Modern Computer Architectures

SPRNG and Modern Architectures The Scalable Parallel Random Number Generators (SPRNG) Library and Modern Computer Architectures Prof. Michael Mascagni Department of Computer Science Department of Mathematics Department of Scientific Computing

1.42k views • 94 slides
Random Numbers RANDOM VS PSEUDO RANDOM Truly Random numbers From Wolfram: A random number

Random Numbers RANDOM VS PSEUDO RANDOM Truly Random numbers From Wolfram: A random number

Random Numbers RANDOM VS PSEUDO RANDOM Truly Random numbers From Wolfram: A random number is a number chosen as if by chance from some specified distribution such that selection of a large set of these numbers reproduces the underlying

720 views • 12 slides
SoK: Security Models for Pseudo-Random Number Generators Sylvain Ruhault March 8 th , Tokyo, Fast

SoK: Security Models for Pseudo-Random Number Generators Sylvain Ruhault March 8 th , Tokyo, Fast

Motivation Standard PRNG Stateful PRNG PRNG with input Conclusion SoK: Security Models for Pseudo-Random Number Generators Sylvain Ruhault March 8 th , Tokyo, Fast Software Encryption 2017 1 / 18 Motivation Standard PRNG Stateful PRNG

266 views • 26 slides
R ANDOM NUMBER GENERATION ( SOFTWARE ) Two kind of software random number generators:

R ANDOM NUMBER GENERATION ( SOFTWARE ) Two kind of software random number generators:

A C OMPARISON OF P SEUDORANDOM N UMBER G ENERATORS Riivo Talviste 3 rd Conference on Advanced Topics in Telecommunication Aug 14 15, 2009 I NTRODUCTION Cryptography in everyday life E-banking Estonian ID-card 2 I SSUES

252 views • 23 slides
Pseudo-Random Generators Computer programming (e.g. randomized algorithm) Elementary and

Pseudo-Random Generators Computer programming (e.g. randomized algorithm) Elementary and

Why do we need random numbers? Simulation Sampling Numerical analysis Pseudo-Random Generators Computer programming (e.g. randomized algorithm) Elementary and critical element in many cryptographic protocols Usually:

157 views • 5 slides
Pseudorandom generators from polarizing random walks Ka Kaave Ho Hossei eini (UC San Diego)

Pseudorandom generators from polarizing random walks Ka Kaave Ho Hossei eini (UC San Diego)

Pseudorandom generators from polarizing random walks Ka Kaave Ho Hossei eini (UC San Diego) Eshan Chattopadhyay (IAS Cornell) Pooya Hatami (UT Austin Ohio State) Shachar Lovett (UC San Diego) Outline Introduce Pseudorandom generators

1.41k views • 88 slides
Monte Carlo Integration Monte Carlo methods use random numbers for sampling Although

Monte Carlo Integration Monte Carlo methods use random numbers for sampling Although

Monte Carlo Integration Monte Carlo methods use random numbers for sampling Although somewhat less glamorous than gambling devices (dice, roulette, cards, etc.) random number generators on the computer are more efficient (>10 8 random

536 views • 11 slides

More recommend