Генераторы псевдослучайных чисел (ГСЧ) являются важными компонентами криптографических протоколов, формирующими основу для электронных подписей и шифрования данных. В исследовании рассматриваются методы оценки предсказуемости последовательностей, генерируемых ГСЧ, в частности, для генераторов, которые рассматриваются как "черные ящики", внутренняя логика которых неизвестна. Традиционных тестов, таких как NIST SP 800-22, часто недостаточно, поскольку они могут подтвердить статистическую случайность, не доказав криптостойкость. Этот контекст подчеркивает необходимость в более надежных системах оценки для определения пригодности генератора для приложений с высоким уровнем безопасности.
Разработан двухрежимный метод оценки, использующий как побитовый, так и блочный анализ для выявления закономерностей, которые могут быть пропущены стандартными статистическими тестами. В этом подходе используются критерии хи-квадрат и машинное обучение, в частности многослойные персептроны, для выявления линейных и нелинейных зависимостей. Разбивая длинные последовательности на окна, система пытается предсказать следующий бит на основе предыдущих данных, предоставляя более детальное представление о потенциальных уязвимостях. Эта комплексная платформа позволяет проводить тестирование в нескольких направлениях, повышая надежность полученных показателей безопасности.
Ключевым нововведением в этом исследовании является введение количественного показателя для оценки предсказуемости, определяющего степень отклонения последовательности от истинной случайности. Показатель рассчитывается как разница между фактической точностью предсказания и базовой вероятностью случайного угадывания. Статистическая значимость проверяется с помощью Z-тестов с поправками Бонферрони, чтобы гарантировать, что результаты не являются просто случайными. Эти расчеты дают четкую шкалу для классификации генераторов на стабильные, слабые или полностью нестабильные для криптографического использования.
В исследовании предложенная методология применяется к десяти различным типам PRNG, включая те, которые используются в международных стандартах, таких как AES и ГОСТ. Результаты сравниваются с отраслевыми тестами, такими как наборы тестов NIST и Diehard, выявляя несоответствия в тех случаях, когда стандартные тесты не позволяют выявить известные математические недостатки. Некоторые генераторы, прошедшие тесты NIST, были успешно проверены на компрометацию с помощью нового метода предсказуемости, что доказывает, что статистическая обработка не равна криптографической защищенности. Этот сравнительный анализ демонстрирует дополнительные уровни безопасности, обеспечиваемые исследованными инструментами оценки.
Результаты этих оценок были опубликованы в нескольких научных журналах и представлены на различных технологических конференциях. В настоящее время рассматривается возможность практического применения методологии для интеграции в специализированные аналитические системы для проведения спасательных операций и управления чрезвычайными ситуациями. Исследование успешно доказывает ортогональность различных критериев тестирования, что означает, что они обеспечивают независимую и взаимодополняющую информацию о безопасности. В конечном счете, эта работа предлагает усовершенствованный инструментарий для организаций, разрабатывающих собственные алгоритмы генерации для эффективной сертификации своей криптостойкости.