Là lý thuyết âm thanh giả tạo được sử dụng trong thực tế?

Theo như tôi biết, hầu hết các triển khai tạo số giả ngẫu nhiên trong thực tế đều sử dụng các phương pháp như các thanh ghi phản hồi dịch chuyển tuyến tính (LSFR) hoặc các thuật toán "Mersenne Twister" này. Mặc dù họ vượt qua rất nhiều bài kiểm tra thống kê (heuristic), nhưng không có gì đảm bảo về mặt lý thuyết rằng họ trông giống giả, tất cả, đều là những bài kiểm tra thống kê có thể tính toán hiệu quả. Tuy nhiên, các phương pháp này được sử dụng một cách bừa bãi trong tất cả các loại ứng dụng, từ các giao thức mã hóa đến máy tính khoa học đến ngân hàng (có thể). Tôi thấy hơi đáng lo ngại khi chúng ta có ít hoặc không đảm bảo về việc liệu các ứng dụng này có hoạt động như dự định hay không (bởi vì bất kỳ loại phân tích nào cũng có thể giả định tính ngẫu nhiên thực sự là đầu vào).

Mặt khác, lý thuyết phức tạp và mật mã học cung cấp một lý thuyết rất giả về tính giả danh, và chúng tôi thậm chí còn có các cấu trúc ứng cử của các trình tạo giả ngẫu nhiên để đánh lừa BẤT K test bài kiểm tra thống kê hiệu quả nào bạn có thể đưa ra, sử dụng các hàm ứng cử viên một cách.

Câu hỏi của tôi là: lý thuyết này đã đi vào thực tiễn chưa? Tôi hy vọng rằng đối với việc sử dụng ngẫu nhiên quan trọng, như mật mã hoặc điện toán khoa học, PRGs về mặt lý thuyết được sử dụng.

Bên cạnh đó, tôi có thể tìm thấy một số phân tích hạn chế về các thuật toán phổ biến như quicksort hoạt động như thế nào khi sử dụng LSFR như một nguồn ngẫu nhiên, và rõ ràng chúng hoạt động tốt. Xem "Thuật toán ngẫu nhiên và số giả ngẫu nhiên" của Karloff và Raghavan .

— Henry Yuen
nguồn

Thậm chí còn có một PRG phổ quát - nó an toàn nếu các PRG an toàn tồn tại.

$\:$

Bạn có nghĩa là PRGs mật mã? Nếu vậy, thì chúng ta không biết rằng PRG (mật mã) tương đương với OWF?

— Henry Yuen

Đúng.

$\;\;$ Chia

hạt -bit vào khoảng

k

$k$

khối xấp xỉ

\sqrt{k}

$\sqrt{k}$

bit mỗi, chạy

\sqrt{k}

$\sqrt{k}$

$\hspace{.2 in}$ [số khối] đầu tiên Máy Turing trên các khối tương ứng với tối đa

bước,

k^{2}

$k^2$

$\hspace{.15 in}$ đệm các đầu ra để

k + 1

$\:k+1\:$ bit và xuất ra xor của các đầu ra TM đó.

$\;\;$ (Giống như tìm kiếm phổ quát của Levin, điều này không thể được sử dụng trong thực tế.)

$\;\;\;\;$

có lẽ phù hợp hơn với thực tiễn là các kết quả liên quan đến tính ngẫu nhiên cần thiết cho việc băm: từ các gia đình độc lập bị ràng buộc cổ điển đến các kết quả gần đây hơn như Mitzenmacher-Vadhan (độc lập theo cặp + một số entropy trong đầu vào cung cấp giả ngẫu nhiên đủ cho việc dò tìm tuyến tính và bộ lọc nở hoa) hoặc Patrascu -Thorup kết quả trên bảng băm.

— Sasho Nikolov

"Tuy nhiên, các phương thức này được sử dụng một cách bừa bãi trong tất cả các loại ứng dụng, từ các giao thức mã hóa ...". Tôi hy vọng là không. Mersenne Twisters không nên được sử dụng cho mật mã vì chúng không mạnh về mật mã mặc dù có những biến thể có thể có.

— Mike Samuel

Câu trả lời:

Khái niệm về các trình tạo giả ngẫu nhiên "âm thanh lý thuyết" không thực sự được xác định rõ. Rốt cuộc, không có trình tạo giả ngẫu nhiên nào có bằng chứng về bảo mật. Tôi không biết rằng chúng ta có thể nói rằng một trình tạo giả ngẫu nhiên dựa trên độ cứng của việc bao thanh toán các số nguyên lớn là "an toàn hơn" so với việc sử dụng AES làm trình tạo giả ngẫu nhiên. (Trên thực tế, có một ý nghĩa rằng nó kém an toàn hơn, vì chúng ta biết về các thuật toán bao thanh toán lượng tử nhưng không phải là thuật toán lượng tử để phá vỡ AES.)

Những gì chúng tôi có bằng chứng toán học cho các kết quả thành phần khác nhau, nói rằng nếu bạn soạn các hàm khối hoặc hàm băm theo một số cách nhất định, bạn có thể có được các trình tạo giả ngẫu nhiên hoặc hàm giả ngẫu nhiên. Một số kết quả như vậy được sử dụng rộng rãi trong thực tế, ví dụ, HMAC . Nhưng sự thật là các kết quả đạt được PRG và bắt đầu chỉ bằng cách giả sử rằng thành phần cơ bản là chức năng một chiều đơn giản không đủ hiệu quả để sử dụng cho các ứng dụng (và điều này ít nhất là một phần vốn có). Vì vậy, thông thường chúng ta cần giả sử hàm PRG / stream / block-crypt / hash là hàm nguyên thủy cơ bản và bắt đầu xây dựng những thứ khác từ nó. Vấn đề không thực sự là về phân tích tiệm cận vì về cơ bản tất cả các khoản giảm mật mã (có lẽ ngoại trừ PRG phổ quát của Levin) đều có thể được thực hiện cụ thể và do đó đưa ra các đảm bảo cụ thể theo các giả định cụ thể.

Nhưng mặc dù chúng không dựa trên các chức năng một chiều, có một ý nghĩa trong đó các công trình như AES là "âm thanh lý thuyết" bởi vì: (1) Có những phỏng đoán chính thức về bảo mật của chúng. (2) Có công việc cố gắng bác bỏ những phỏng đoán này, và cũng rút ra hàm ý từ chúng.

Và thực tế, mọi người nhận thức được rằng đối với nhiều ứng dụng, sẽ không thông minh khi sử dụng PRG như LSFR không thỏa mãn (1) và (2) ở trên.

— Boaz Barak
nguồn

Tôi đoán bạn muốn liên kết với một trong những bài báo của Jonathan Katz tại chỗ cho trang web của anh ấy. Btw, bạn có muốn chúng tôi hợp nhất tài khoản này với tài khoản khác của bạn không?

— Kaveh

Bạn có vẻ khó hiểu lý thuyết với thực hành. Một trình tạo giả ngẫu nhiên về mặt lý thuyết là không phù hợp để sử dụng thực tế vì nhiều lý do:

Có lẽ nó rất không hiệu quả.
Bằng chứng bảo mật chỉ là không có triệu chứng, và vì vậy đối với tham số bảo mật cụ thể được sử dụng, trình tạo giả ngẫu nhiên có thể dễ dàng bị phá vỡ.
Tất cả các bằng chứng bảo mật đều có điều kiện, vì vậy trong một số trường hợp, nó thậm chí không thỏa mãn khái niệm bảo mật lý thuyết.

Ngược lại với điều này, các trình tạo giả ngẫu nhiên thực tế rất nhanh, và có các hương vị khác nhau tùy thuộc vào việc sử dụng chúng. Đối với việc sử dụng phi mật mã, hầu hết mọi thứ khác ngoài LFSR đơn giản sẽ thực hiện công việc - không thể chứng minh được, nhưng trong thực tế (điều này quan trọng hơn đối với những người sử dụng công cụ trong thực tế).

Để sử dụng mật mã, mọi người cố gắng thông minh hơn. Tại thời điểm này, lời chỉ trích của bạn có ý nghĩa: chúng tôi không thể biết rằng một trình tạo giả ngẫu nhiên cụ thể được sử dụng là "an toàn" và thực tế một số cái cũ đã bị hỏng, ví dụ RC4 như được sử dụng trong WEP. Tuy nhiên, vì những lý do đã nêu ở trên, việc sử dụng một trình tạo giả âm thanh theo lý thuyết (có điều kiện) không may là một giải pháp thực tế. Thay vào đó, cộng đồng mật mã dựa vào "đánh giá ngang hàng" - các nhà nghiên cứu khác cố gắng "phá vỡ" hệ thống (định nghĩa của họ khi mật mã bị phá vỡ là rất rộng).

Cuối cùng, trong các ứng dụng khi tiền có thể được đầu tư và bảo mật đủ quan trọng - giả sử mã hạt nhân - mọi người sử dụng tiếng ồn được tạo ra vật lý (thông qua một bộ trích xuất ngẫu nhiên), mặc dù điều đó không nằm ngoài sự chỉ trích về mặt lý thuyết.

Khi các nhà nghiên cứu viết đề xuất tài trợ hoặc giới thiệu cho các bài báo, họ thường tuyên bố rằng nghiên cứu của họ liên quan và thông báo thực hành. Cho dù họ tin vào điều đó hay đó chỉ là dịch vụ môi tôi không biết (và nó có thể phụ thuộc vào nhà nghiên cứu), nhưng bạn nên biết rằng kết nối bị phóng đại quá mức trong giới học thuật, vì những lý do rõ ràng.

Một điều giới hạn chúng tôi là các nhà nghiên cứu toán học là sự gắn bó giáo điều của chúng tôi với bằng chứng chính thức. Bạn đề cập đến phân tích các thuật toán ngẫu nhiên được cung cấp bởi các trình tạo giả ngẫu nhiên đơn giản. Loại phân tích này không thể được mở rộng cho các vấn đề trong thế giới thực, vì chúng đơn giản là quá phức tạp. Tuy nhiên, trong thực tế, mọi người giải quyết ngay cả các vấn đề NP-hard mọi lúc, bằng các phương pháp được thông báo.

Các vấn đề trong thế giới thực được hiểu rõ hơn với con mắt khoa học và thực nghiệm hơn. Họ được giải quyết tốt hơn từ góc độ kỹ thuật. Họ truyền cảm hứng cho nghiên cứu lý thuyết, và đôi khi được thông báo bởi nó. Như Dijsktra đã nói, (lý thuyết) khoa học máy tính không thực sự là về máy tính, không còn nữa.

— Yuval Filmus
nguồn

Cảm ơn câu trả lời của bạn, Yuval. Tuy nhiên, tôi không hoàn toàn tin rằng các công trình tạo giả ngẫu nhiên từ mật mã là không hiệu quả. Theo như tôi có thể thấy, không ai đã thực hiện một nghiên cứu về điều này.

— Henry Yuen

Tôi cũng không đồng ý với tuyên bố về chăn rằng các trình tạo giả ngẫu nhiên tiêu chuẩn đủ cho "mục đích hàng ngày". Như bài báo "Ron đã sai, Whit đã đúng" gần đây cho thấy, việc tạo ra giả danh khiếm khuyết đã dẫn đến những lỗ hổng đáng xấu hổ cho một lượng người không đáng kể. Phân tích cụ thể đó là đủ đơn giản; có bao nhiêu ứng dụng "thế giới thực" có thể bị lỗ hổng tinh vi hơn vì LSFR không đầy đủ? Nếu chi phí tính toán bổ sung cần thiết cho PRG âm thanh về mặt lý thuyết không nhiều, tại sao không sử dụng chúng?

— Henry Yuen

Các LSFR @HenryYuen không được sử dụng cho các ứng dụng mã hóa trong bất kỳ hệ thống hiện đại, phong nha nào. (Tất nhiên, có những hệ thống được thiết kế tồi ở ngoài đó, chẳng hạn như GSM được dạy trong các khóa học giới thiệu là làm thế nào để không làm điều đó.) Các vấn đề được tìm thấy trong các Ron Ron là sai, Whit nói đúng về chất lượng của PRNG, nhưng với chất lượng thu thập entropy.

— Gilles 'SO- ngừng trở nên xấu xa'