Vlákno názorů k článku Generátor náhodných čísel založený na instrukcích RDSEED a RDRAND od atarist - Nediskutovalo se o zadnich vratkach v RDRAND. Resp....

Nediskutovalo se o zadnich vratkach v RDRAND. Resp. ze neni tak nahodne, jak by se melo zdat?

Zadní vrátka nevím, ale je tam rozhodně nějaká ERRATA. Třeba nějaký CPU od AMD po uspání vracel 0xFFFFFFFFFFFFFFFF a CF=1 :)

Spoléhat se jen na RDRAND/RDSEED bez další entropie je podle mě špatná cesta.

14. 8. 2025, 09:28 editováno autorem komentáře

Výstup ze zdroje entropie není nikde k dispozici, byly pochybnosti o jeho náhodnosti, když to nejde nijak ověřit.

Generátor je jeden sdílený přes všechny core, na starších CPU existoval exploit, kdy si jeden thread generoval klíče, z jiného threadu šlo získat stejnou sekvenci.

RDRAND vrací číslo podle SP800-90A, kdy z jednoho seedu vygeneruje 511 čísel a čekají předpřipravené v bufferu.

RDSEED vrací číslo podle SP800-90B, kde se seed použije jen jednou.

Aby to splňovalo NIST, generátor by měl mít interní self-test a přes CF hlásit když nějaká komponenta selže.

"Generátor je jeden sdílený přes všechny core" - na zacatku diskuze se pise, ze to tak neni. Je tedy fakt sdilenej a tudiz nebude "skalovat" a jeste to nebude dostatecne secure?

Exploit byl už před lety zalepen mikrokódem, za cenu zpomalení.
Generátor na nových CPU produkuje 800MB/s a jeden thread to celý nevyžere. Ale 2 - 4 thready stačí a narazí na limit.

Ak vas to zaujima tak ked sme robili kryptografiu a chceli sme ju robit poriadne tak sme skusali Intel random generator vs specialny USB kluc. Presli sme to sadou testou a ten Intel sa sprava naozaj cudne. Ako velmi je predikovatelny neviem ale kvalita podla tychto testov nebola dobra. USB kluc vykazoval nasobne lepsie vysledky.
https://webhome.phy.duke.edu/~rgb/General/dieharder.php