我需要以编程方式(使用 Python)验证使用 HSM RnG 生成的签名是否实际上是随机的。
没有在网上找到太多内容,因此将不胜感激!
如何验证使用 HSM 生成的 ECDSA 签名的随机性?
【问题讨论】:
标签: random cryptography signature ecdsa hsm
正如 Squeamish 在 cmets 中指出的那样,实际上没有任何方法可以确保随机数生成器的结果是真正随机的。例如,它可能只是 Pi 在某个特定位置的输出。通常,您必须信任该平台的 FIPS 或 Common Criteria 认证,但请注意,两者都不是无懈可击的。
此外,您还可以依靠 HSM 公司想要赚钱的事实。肯定会失去(全部)市场份额的一种方法是表明你不能被信任。包括 RSA Labs 在内的多家公司已经发现这一点对他们不利。如果您不完全信任 HSM 公司,请不要从他们那里购买任何东西;但请注意,实际上并不存在完美的安全性。
也许可以做一些简单的实验。如果您要求使用相同的数据生成签名,那么您永远不应获得相同的签名(ECDSA 的 r 和 s 值)。这表明RNG的输出至少不会重复。使用多个连接/会话进行一次测试可能是个好主意。
您还可以验证然后连接所有生成的 x 值(用于最终比较),然后对其运行随机性测试(例如顽固套件)。
最后,如果您不信任 HSM 的 RNG 的熵源,请注意您可以向 HSM 添加额外的种子。请查看您的 HSM 文档,它对添加/混合种子有何反应。
【讨论】:
This article 概述了检查某些给定数据的随机性的方法:
二进制序列有许多实际的随机性度量。 这些包括基于统计测试、转换和 复杂性或这些的混合。一种广为人知且应用广泛的 测试的集合是 Diehard Battery of Tests,由 马萨利亚;这被 L'Ecuyer 扩展到了 TestU01 套件,并且 西马德。使用 Hadamard 变换来测量随机性是 由 S. Kak 提出并由 Phillips、Yuen、Hopkins 进一步发展, Beth 和 Dai、Mund、Marsaglia 和 Zaman。
在NIST Special Publication 800-22 中定义了一个标准化的测试套件。
还可以查看this discussion。
【讨论】: