Dragon,Rabbit,Spritz: NIST — Statistical Test Suite For Random And Pseudorandom Number Generators...

[Helmut Schellong]

On 05/18/2022 14:11, Arno Welzel wrote:

Helmut Schellong:

On 05/17/2022 17:52, Arno Welzel wrote:
Ole Jansen:

Am 17.05.22 um 03:40 schrieb Bonita Montero:
Es hat sicher noch niemand bewiesen, dass komprimierte Daten
ein guter Zufalls-Generator wären. Ganz einfach weil das eine
komplett schwachsinnige Aussage ist.

Je wirksamer ein Komprimierungsalgoritmus arbeitet um so eher vermeidet
dieser Redundanzen und Strukturen. Darf dann nicht wenigstens
angenommen werden dass komprimierte Daten ähnliche Eigenschasften
wie Zufallsdaten haben?

Nein, da das Ergebnis auf *nicht* zufälligen Daten basiert.



Es basiert aber doch auf zufälligen Daten.

Ähm - nein.

Du widersprichst der Testsuite!

Ein guter Komprimierer entfernt alle redundanten und strukturierten Daten,
so daß quasi nur Zufallsdaten übrig bleiben.

Nein, aus den Daten die übrig bleiben, lassen sich die Ausgangsdaten
*exakt* wieder rekonstruieren.

Ja, dennoch genügen diese Daten den hohen Ansprüchen an eine Krypto-Zufälligkeit.
Bescheinigt durch die Testsuite.

Es verbleibt ein Rest, an dem keinerlei Abfolgeregel erkennbar ist.

Aber sicher - wie sonst sollte der Komprimierer sonst daraus wieder das
Original erzeugen können?

Das ist kein Widerspruch.
Die Datei \'z.a.xz\' ist 335 KB groß, so daß der Header der Datei keine Rolle spielte.
Außerdem habe ich die ersten 1024 Byte entfernt.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Schellong]

On 05/18/2022 14:12, Arno Welzel wrote:

Helmut Schellong:

[...]
Wie gesagt, haben _kryptographische_ Zufallszahlengeneratoren (PRNG)
_keine_ Periodizität.

Dann sind es keine PRNG mehr. Denn genau deshalb nennt man die Dinger
\"pseudo\", weil das Ergebnis eben *nicht* zufällig ist, auch wenn die
Periode sehr lang sein kann.

Das ist eine falsche Aussage.
Es ist oben \'kryptographische PRNG\' ausgesagt worden.
Nur für diese gilt die Nichtperiodizität, eben für \'CSPRNG\'.

|Grundsätzlich sind für einen CSPRNG dieselben Voraussetzungen
|wie für einen normalen Pseudozufallszahlengenerator vonnöten, nur dass
|für die Sicherheit noch einige zusätzliche Bedingungen erfüllt sein müssen.
|Zum einen darf die von ihm erzeugte Zahlenfolge nicht von einer
|echten Zufallszahlenfolge unterscheidbar sein.
|Zum anderen darf es nicht möglich sein, anhand der Ausgabe des Generators
|auf seinen internen Zustand zu schließen, auch wenn die genaue Funktionsweise bekannt ist.

Habe ich heute bereits gepostet, so wie vor vielen Wochen auch schon.

https://de.wikipedia.org/wiki/Liste_von_Zufallszahlengeneratoren

| Pseudozufallszahlengeneratoren
| kryptographisch sichere Zufallszahlengeneratoren (Rabbit, Dragon, Spritz)
| Zuverlässige Generatoren (AES)
| Beschränkt zuverlässige Generatoren (Mersenne-Twister)
| Wenig bis nicht zuverlässige Generatoren (rand(), random() [1])

[1]
|Diese Pseudozufallszahlengeneratoren bestehen einen Großteil der Tests nicht.
|Sie sollten nur verwendet werden, wenn beträchtliche stochastische Mängel
|der generierten Zahlenfolgen in Kauf genommen werden können.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Schellong]

On 05/18/2022 14:16, Arno Welzel wrote:

Helmut Schellong:

On 05/18/2022 13:32, Bonita Montero wrote:
[...]
Da hilft auch kein Key, denn PRNGs bleiben immer nachvollziehbarer
Zufall. Selbst ein kryptografischer Zufallsgenerator generiert keinen
nicht nachvollziehbaren Zufall, sondern eben nur einen den man mit
weltlicher Rechenleistung nicht nachvollziehen kann.
\"Zufall\" kannst Du nur haben wenn Du z.B. das Rauschen eines
Rauschgenerators digitalisierst.


Ein Key kann durch echten Zufall ausgewählt werden.

Dann brauche ich keinen PNRG mehr, sondern nehme gleich die Quelle des
echten Zufalls als Basis.


Das wird nicht praktikabel sein.

--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Thomas Koenig]

Arno Welzel <usenet@arnowelzel.de> schrieb:

Wenn Du aber nur ausdrücken wolltest, dass ein komprimierte Datei aus
*aussieht* als wäre sie zufällig, mag das stimmen. Aber auch eine Reihe
aufsteigender Zahlen wie 1,2,3,4,5,6 ist so gesehen zufällig - der
Zufall kann ja durchaus dazu führen, dass genau diese Reihe zustande
gekommen ist.

In dem Kontext zwei Literaturstellen:

https://dilbert.com/strip/2001-10-25
https://xkcd.com/221/

 

[Rupert Haselbeck]

Helmut Schellong schrieb:

Entscheidend ist ein Testlauf mit der Testsuite.
Dessen Resultat sagt, ob der Bitstrom krypto-zufällig ist oder nicht.

Das ist natürlich Blödsinn. Du hast noch immer nicht verstanden, wofür
ein Testprogramm gedacht ist und vor allem auch nicht, wo die Grenzen
liegen. Freilich mag eine Folge von Werten für deine Testsuite wie
zufällig aussehen. Dennoch sind die aufeinanderfolgenden Werte in einer
komprimierten Datei in keiner Weise zufällig sondern beliebig oft exakt
reproduzierbar, einfach durch einen neuen Durchlauf der Ausgangsdatei
durch das Kompressionsprogramm. Zufall ist da nicht im Geringsten zu sehen.
Wie so oft im Leben und in der IT kommt es auch hier auf den Kontext an.
Das Testprogramm kann den Kontext nicht berücksichtigen und glaubt bei
einem guten, redundanzfreien Produkt eines Kompressionsalgorithmus an
eine zufällige Abfolge von Werten. Es hat keine Möglichkeit, zu
erkennen, dass die Abfolge der Werte streng deterministisch und in
keiner Weise von Zufall beeinflusst ist.
Mit rudimentären mathematischen Kenntnissen und ein paar Grundbegriffen
der Kryptologie sollte aber für einen halbwegs intelligenten Menschen
erkennbar sein, dass es eine saublöde Idee wäre, als Zufallsquelle eine
Datei beliebigen bekannten Inhalts zu verwenden, ob nun komprimiert oder
nicht. Sowas wäre natürlich auch in gewisser Weise \"sicher\", aber nur
solange, wie der interessierte Mitleser die Quelle der \"Zufallszahlen\"
nicht kennt. Security by Obscurity?
Wo es auf hohe Qualität der Verschlüsselung ankommt, verwendet man gerne
\"echten\" Zufall zur Schlüsselgenerierung, z.B. ausgehend vom Zerfall
eines radioaktiven Elements, einem Detektor, der Höhenstrahlung misst
oder das Rauschen von Bauelementen.

MfG
Rupert

 

[Rupert Haselbeck]

Helmut Schellong schrieb:

Arno Welzel wrote:
Deswegen ist eine andere Bezeichnung für PRNG - pseudorandom number
generator - auch DBRG - deterministic random bit generator. Abhängig von
den Eingangsparametern kommt nämlich *immer* genau derselbe \"Zufall\"
heraus.

Das ist für Verschlüsselung jedoch zwingend notwendig.
Andernfalls könnte nicht entschlüsselt werden.

Unsinn! Das Optimum für sichere Kryptografie sind _echte_
Zufallszahlenfolgen.

Gehts dir etwa nur darum, deinen Ruf als GRÖDAZ zu festigen?

MfG
Rupert

 

[Helmut Schellong]

On 05/18/2022 16:30, Rupert Haselbeck wrote:

Helmut Schellong schrieb:

Entscheidend ist ein Testlauf mit der Testsuite.
Dessen Resultat sagt, ob der Bitstrom krypto-zufällig ist oder nicht.

Das ist natürlich Blödsinn. Du hast noch immer nicht verstanden, wofür ein Testprogramm gedacht ist und vor allem auch nicht, wo die Grenzen liegen. Freilich mag eine Folge von Werten für deine Testsuite wie zufällig aussehen. Dennoch sind die aufeinanderfolgenden Werte in einer komprimierten Datei in keiner Weise zufällig sondern beliebig oft exakt reproduzierbar, einfach durch einen neuen Durchlauf der Ausgangsdatei durch das Kompressionsprogramm. Zufall ist da nicht im Geringsten zu sehen.
Wie so oft im Leben und in der IT kommt es auch hier auf den Kontext an. Das Testprogramm kann den Kontext nicht berücksichtigen und glaubt bei einem guten, redundanzfreien Produkt eines Kompressionsalgorithmus an eine zufällige Abfolge von Werten. Es hat keine Möglichkeit, zu erkennen, dass die Abfolge der Werte streng deterministisch und in keiner Weise von Zufall beeinflusst ist.
Mit rudimentären mathematischen Kenntnissen und ein paar Grundbegriffen der Kryptologie sollte aber für einen halbwegs intelligenten Menschen erkennbar sein, dass es eine saublöde Idee wäre, als Zufallsquelle eine Datei beliebigen bekannten Inhalts zu verwenden, ob nun komprimiert oder nicht. Sowas wäre natürlich auch in gewisser Weise \"sicher\", aber nur solange, wie der interessierte Mitleser die Quelle der \"Zufallszahlen\" nicht kennt. Security by Obscurity?
Wo es auf hohe Qualität der Verschlüsselung ankommt, verwendet man gerne  \"echten\" Zufall zur Schlüsselgenerierung, z.B. ausgehend vom Zerfall eines radioaktiven Elements, einem Detektor, der Höhenstrahlung misst oder das Rauschen von Bauelementen.

Vor mehr als zwei Stunden postete ich:
============================================================================> Die Testsuite untersucht halt nur das Ergebnis und nicht den Weg, wie
> das Ergebnis zustande gekommen ist.

Genau - das soll sie auch ausdrücklich!
Ein anderes Konzept wäre auch Unfug.
Das Programm \'assess\' erhält irgendeine Datei als Eingabe...
...........................
In meiner Webseite:
http://www.schellong.de/htm/dragon.c.html#NIST
ist der Datenstrom \'zaxz\' auch nur zur ergänzenden Demonstration vorhanden.

In der Praxis ist eine komprimierte Datei auch nur eingeschränkt nutzbar.
Man muß jede solche Datei mit der Testsuite auf Eignung testen.
Falls okay, können kleine Abschnitte aus der Datei herausgezogen werden.
Aber, was soll das?
============================================================================
Meine Antworten in der Vergangenheit nehmen (fast) alles vorweg, was
Du oben geschrieben hast.
Der Eindruck entsteht, Du hast meine Antworten aus der Vergangenheit
als Grundlage Deiner Antwort verwendet.
Aber dergestalt, als wäre alles, das ich in der Vergangenheit schrieb, mir unbekannt.
Das erinnert an ein Paradoxon!


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Schellong]

On 05/18/2022 17:00, Rupert Haselbeck wrote:

Helmut Schellong schrieb:
Arno Welzel wrote:
Deswegen ist eine andere Bezeichnung für PRNG - pseudorandom number
generator - auch DBRG - deterministic random bit generator. Abhängig von
den Eingangsparametern kommt nämlich *immer* genau derselbe \"Zufall\" heraus.

Das ist für Verschlüsselung jedoch zwingend notwendig.
Andernfalls könnte nicht entschlüsselt werden.

Unsinn! Das Optimum für sichere Kryptografie sind _echte_ Zufallszahlenfolgen.

Unsinn!
Man müßte dazu ja mit bis zu Tera-Bit langen _echten_ Zufallszahlenfolgen operieren
und diese speichern und an alle Parteien verteilen.
Dies für _jede_ zu verschlüsselnde/entschlüsselnde Datenmenge separat.
Welch ein Wahnsinn!

Da ist ein Key mit 256 Bit in Verbindung mit einem CSPRNG
wesentlich praktikabler und sogar sicherer.

Gehts dir etwa nur darum, deinen Ruf als GRÖDAZ zu festigen?

Unsinn!


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Axel Berger]

Arno Welzel wrote:

Wenn etwa die Entschlüsselung mit einem Test-Schlüssel mindestens 0,01
Sekunden dauert, bis man feststellen kann, ob sie erfolgreich war oder
nicht

Es wird nie angesprochen, aber das zweite halte ich für das größere
Problem. Schlüssel algorithmisch Durchiterieren ist einfach, aber wie
erkenne ich den Erfolg? Je kürzer der Text, desto schwieriger wird das.

Das Knacken von Enigma gelang nur, weil die Deutschen jede Sendung mit
dem Wetterbericht begannen und der ausnahmslos mit denselben
Eingangsworten anfing.


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --

 

[Volker Bartheld]

On Wed, 18 May 2022 14:03:47 +0200, Bonita Montero wrote:

Am 18.05.2022 um 13:51 schrieb Helmut Schellong:
On 05/18/2022 13:32, Bonita Montero wrote:
Am 17.05.2022 um 18:43 schrieb Helmut Schellong:
On 05/17/2022 18:13, Bonita Montero wrote:
Am 17.05.2022 um 17:53 schrieb Arno Welzel:
Helmut Schellong:
On 05/17/2022 15:47, Ole Jansen wrote:
Am 17.05.22 um 03:40 schrieb Bonita Montero:
Ein Gegenbeweis wäre die Kompression von Zufalls-Daten.
Die wär dann schon als Zufall nutzbar.
Vollkommener Quatsch.
Der Zufall kann durch den Key da hineinkommen, der die Sequenz bestimmt.
Da hilft auch kein Key, denn PRNGs bleiben immer nachvollziehbarer
Zufall.
Ein Key kann durch echten Zufall ausgewählt werden.
Es gibt keinen echten Zufall, sondern nur ggf. nicht mit weltlichen
Mittel nachvollziehbaren.
Es muß zwischen \'Echtem Zufall\' und \'Pseudo-Zufall\' unterschieden werden!
Es ist zumindest kein echter Zufall, dass Du komplett blöd bist.

*LOL* Durch die Hinzunahme von de.comp.lang.c scheint diese unendliche
Selbstentblößung ja noch ein paar pikante Wendungen zu nehmen. Sin
eigentlich auch Maislieferungen vom Ukrainekonflikt betroffen?

Vol\"Popcorn!\"ker

 

[Ole Jansen]

Am 18.05.22 um 16:02 schrieb Helmut Schellong:

On 05/18/2022 14:12, Arno Welzel wrote:
Helmut Schellong:

[...]
Wie gesagt, haben _kryptographische_ Zufallszahlengeneratoren (PRNG)
_keine_ Periodizität.

Dann sind es keine PRNG mehr. Denn genau deshalb nennt man die Dinger
\"pseudo\", weil das Ergebnis eben *nicht* zufällig ist, auch wenn die
Periode sehr lang sein kann.



Das ist eine falsche Aussage.
Es ist oben \'kryptographische PRNG\' ausgesagt worden.
Nur für diese gilt die Nichtperiodizität, eben für \'CSPRNG\'.

Wie sollen rein mathematische Zufallszahlengeneratoren
ohne Periodizität denn funktionieren wenn die Zahl der
Zustände der Maschine endlich ist?

|Grundsätzlich sind für einen CSPRNG dieselben Voraussetzungen
|wie für einen normalen Pseudozufallszahlengenerator vonnöten, nur dass
|für die Sicherheit noch einige zusätzliche Bedingungen erfüllt sein
müssen.
|Zum einen darf die von ihm erzeugte Zahlenfolge nicht von einer
|echten Zufallszahlenfolge unterscheidbar sein.
|Zum anderen darf es nicht möglich sein, anhand der Ausgabe des Generators
|auf seinen internen Zustand zu schließen, auch wenn die genaue
Funktionsweise bekannt ist.

Das ist praktisch so. Theoretisch geht es doch immer mit Brute Force?

O.J.

 

[Rolf Bombach]

Ole Jansen schrieb:

Am 18.05.22 um 16:02 schrieb Helmut Schellong:
On 05/18/2022 14:12, Arno Welzel wrote:
Helmut Schellong:

[...]
Wie gesagt, haben _kryptographische_ Zufallszahlengeneratoren (PRNG)
_keine_ Periodizität.

Dann sind es keine PRNG mehr. Denn genau deshalb nennt man die Dinger
\"pseudo\", weil das Ergebnis eben *nicht* zufällig ist, auch wenn die
Periode sehr lang sein kann.



Das ist eine falsche Aussage.
Es ist oben \'kryptographische PRNG\' ausgesagt worden.
Nur für diese gilt die Nichtperiodizität, eben für \'CSPRNG\'.

Wie sollen rein mathematische Zufallszahlengeneratoren
ohne Periodizität denn funktionieren wenn die Zahl der
Zustände der Maschine endlich ist?

Unendlich und abzählbar unendlich...

OK, ein suboptimales Beispiel:

Man nehme einen populären PRNG wie Superpi. Der produziert Abermillionen
an Ziffern, welche statistisch gesehen zufällig sind. Natürlich kryptographisch
wertlos. Genau determiniert, einfache Mathematik. Bitte gib an, ab
welcher Stelle welche Sequenz periodisch wird. Mathematisch oder empirisch,
egal, es wird dich ein Stück näher an die Fields-Medaille ranbringen.

Als Übungsbeispiel versuche man andere transzendente Konstanten oder Funktionen.

--
mfg Rolf Bombach

 

[Rolf Bombach]

Axel Berger schrieb:

Arno Welzel wrote:
Wenn etwa die Entschlüsselung mit einem Test-Schlüssel mindestens 0,01
Sekunden dauert, bis man feststellen kann, ob sie erfolgreich war oder
nicht

Es wird nie angesprochen, aber das zweite halte ich für das größere
Problem. Schlüssel algorithmisch Durchiterieren ist einfach, aber wie
erkenne ich den Erfolg? Je kürzer der Text, desto schwieriger wird das.

Das Knacken von Enigma gelang nur, weil die Deutschen jede Sendung mit
dem Wetterbericht begannen und der ausnahmslos mit denselben
Eingangsworten anfing.

Wie Arno schon implizierte: Spätestens dann, wenn der Schlüssel länger
als der Text ist, kann man den Code nicht mehr knacken. Wenn du deine
Kreditkartennummer mit einem zwanzigstelligen Code verschlüsselst,
erfüllen beim Knacken ganz viele Resultate das Kriterium Kreditkartennummer.

--
mfg Rolf Bombach

 

[Rolf Bombach]

Arno Welzel schrieb:

Helmut Schellong:

On 05/18/2022 13:32, Bonita Montero wrote:
[...]
Da hilft auch kein Key, denn PRNGs bleiben immer nachvollziehbarer
Zufall. Selbst ein kryptografischer Zufallsgenerator generiert keinen
nicht nachvollziehbaren Zufall, sondern eben nur einen den man mit
weltlicher Rechenleistung nicht nachvollziehen kann.
\"Zufall\" kannst Du nur haben wenn Du z.B. das Rauschen eines
Rauschgenerators digitalisierst.


Ein Key kann durch echten Zufall ausgewählt werden.

Dann brauche ich keinen PNRG mehr, sondern nehme gleich die Quelle des
echten Zufalls als Basis.

Für was sollte das gut sein? Dann wären wir beim One Time Pad. Der ist
prinzipiell nicht knackbar, braucht aber einen sicheren Kanal für den
Schlüssel. Hatte man früher mit Würfel- und Lottomaschinen hergestellt...

--
mfg Rolf Bombach

 

[Rolf Bombach]

Rupert Haselbeck schrieb:

Helmut Schellong schrieb:
Arno Welzel wrote:
Deswegen ist eine andere Bezeichnung für PRNG - pseudorandom number
generator - auch DBRG - deterministic random bit generator. Abhängig von
den Eingangsparametern kommt nämlich *immer* genau derselbe \"Zufall\" heraus.

Das ist für Verschlüsselung jedoch zwingend notwendig.
Andernfalls könnte nicht entschlüsselt werden.

Unsinn! Das Optimum für sichere Kryptografie sind _echte_ Zufallszahlenfolgen.

Gehts dir etwa nur darum, deinen Ruf als GRÖDAZ zu festigen?

Nein, hier geht es ausschliesslich um Schellong-Bashing, meist von Leuten,
die echt noch weniger Ahnung haben.

Um auf deinen Einwand zu kommen: Wie transportierst du den Schlüssel von
deiner optimalen sicheren Kryptografie?

--
mfg Rolf Bombach

 

[Rolf Bombach]

Rupert Haselbeck schrieb:

Wo es auf hohe Qualität der Verschlüsselung ankommt, verwendet man gerne  \"echten\" Zufall zur Schlüsselgenerierung, z.B. ausgehend vom Zerfall eines radioaktiven Elements, einem Detektor, der
Höhenstrahlung misst oder das Rauschen von Bauelementen.

Genau das hat Helmut auch so gesagt.
Was ist los? Drehen hier alle am Rad? Sommertemperaturen?

--
mfg Rolf Bombach

 

[Rolf Bombach]

Thomas Koenig schrieb:

Arno Welzel <usenet@arnowelzel.de> schrieb:

Wenn Du aber nur ausdrücken wolltest, dass ein komprimierte Datei aus
*aussieht* als wäre sie zufällig, mag das stimmen. Aber auch eine Reihe
aufsteigender Zahlen wie 1,2,3,4,5,6 ist so gesehen zufällig - der
Zufall kann ja durchaus dazu führen, dass genau diese Reihe zustande
gekommen ist.

In dem Kontext zwei Literaturstellen:

https://dilbert.com/strip/2001-10-25
https://xkcd.com/221/

Die Enigma enthielt eine Scheibe, die dafür sorgte, dass nie ein Buchstabe
durch sich selber codiert wurde. Die haben den dilbert nicht kapiert und
so die Kodierung _unsicherer_ gemacht.

Ad 2: Beim Würfeln kommt durchschnittlich die 3,5.

--
mfg Rolf Bombach

 

[Rolf Bombach]

Arno Welzel schrieb:

Helmut Schellong:

On 05/17/2022 17:52, Arno Welzel wrote:
Ole Jansen:

Am 17.05.22 um 03:40 schrieb Bonita Montero:
Es hat sicher noch niemand bewiesen, dass komprimierte Daten
ein guter Zufalls-Generator wären. Ganz einfach weil das eine
komplett schwachsinnige Aussage ist.

Je wirksamer ein Komprimierungsalgoritmus arbeitet um so eher vermeidet
dieser Redundanzen und Strukturen. Darf dann nicht wenigstens
angenommen werden dass komprimierte Daten ähnliche Eigenschasften
wie Zufallsdaten haben?

Nein, da das Ergebnis auf *nicht* zufälligen Daten basiert.



Es basiert aber doch auf zufälligen Daten.

Ähm - nein.

Ein guter Komprimierer entfernt alle redundanten und strukturierten Daten,
so daß quasi nur Zufallsdaten übrig bleiben.

Nein, aus den Daten die übrig bleiben, lassen sich die Ausgangsdaten
*exakt* wieder rekonstruieren.

Nur wenn das Verfahren und allfällige Schlüssel bekannt sind. Falls sie
das nicht sind, gibt es eben kein Verfahren, welches erkennen kann, dass
es sich um komprimierte Daten oder um weisses Rauschen handelt.

Es verbleibt ein Rest, an dem keinerlei Abfolgeregel erkennbar ist.

Aber sicher - wie sonst sollte der Komprimierer sonst daraus wieder das
Original erzeugen können?

?

--
mfg Rolf Bombach

 

[Rolf Bombach]

Bonita Montero schrieb:

Am 17.05.2022 um 15:47 schrieb Ole Jansen:
Am 17.05.22 um 03:40 schrieb Bonita Montero:
Es hat sicher noch niemand bewiesen, dass komprimierte Daten
ein guter Zufalls-Generator wären. Ganz einfach weil das eine
komplett schwachsinnige Aussage ist.

Je wirksamer ein Komprimierungsalgoritmus arbeitet um so eher vermeidet
dieser Redundanzen und Strukturen. Darf dann nicht wenigstens
angenommen werden dass komprimierte Daten ähnliche Eigenschasften
wie Zufallsdaten haben?

Wie blöd ist das denn ?
Das ist sicher nicht der wissenschaftliche Beweis von Helmuts
Aussage, dass eine gepackte datei von der Datensequenz her wie
ein Zufallsgenerator streut.

Das ist nicht ein Beweis, sondern eine plausible Erklärung.
Den Beweis haben andere längst geliefert, das muss man ja nicht wiederholen.

> Sind hier nur Idioten ?

Gewisse Statements sind manchmal reflexiv. Ausserdem plenkst du.

--
mfg Rolf Bombach

 

[Helmut Schellong]

On 05/19/2022 10:07, Ole Jansen wrote:

Am 18.05.22 um 16:02 schrieb Helmut Schellong:
On 05/18/2022 14:12, Arno Welzel wrote:
Helmut Schellong:

[...]
Wie gesagt, haben _kryptographische_ Zufallszahlengeneratoren (PRNG)
_keine_ Periodizität.

Dann sind es keine PRNG mehr. Denn genau deshalb nennt man die Dinger
\"pseudo\", weil das Ergebnis eben *nicht* zufällig ist, auch wenn die
Periode sehr lang sein kann.



Das ist eine falsche Aussage.
Es ist oben \'kryptographische PRNG\' ausgesagt worden.
Nur für diese gilt die Nichtperiodizität, eben für \'CSPRNG\'.

Wie sollen rein mathematische Zufallszahlengeneratoren
ohne Periodizität denn funktionieren wenn die Zahl der
Zustände der Maschine endlich ist?

Die Sache mit der Periodizität bei CSPRNG ist nicht so einfach - konstant.
Diese haben alle ein Keystream-Längen-Limit, das wesentlich geringer ist
als irgendein Beginn einer neuen Periode.

|Rabbit was designed to be faster than commonly used ciphers and to justify
|a key size of 128 bits for encrypting up to 2^64 bytes of plaintext.
. ^^^^
|The most important feature of counter assisted stream ciphers [21]
|is that strict lower bounds on the period lengths can be provided.
|The adopted counter system in Rabbit has a period length of 2^256 − 1 [6].
|Since it can be shown that the input to the g-functions has at least the same period,
|a very pessimistic lower bound on the period of the state variables, Nx > 2^215 , can
|be guaranteed [19].

Es fällt hier auf, daß nicht von einer Periodizität des Keystreams geschrieben wird.
Sondern der innere Zustand wird beschrieben.
Außerdem wird von einer /pessimistischen/ Sicht geschrieben.

Dragon hat eine /erwartete/ Periode des inneren Zustands von 2^576.
Das Längen-Limit des Keystreams ist 2^61 Byte.

Es ist somit nicht falsch, wenn CSPRNG als nicht periodisch
hinsichtlich ihrer Ausgabe beschrieben werden.

Wird das Limit überschritten, sinkt die Zufallsqualität der Zahlenfolge.
Angriffe mit Limitüberschreitung werden als ungültig attributiert.

|Grundsätzlich sind für einen CSPRNG dieselben Voraussetzungen
|wie für einen normalen Pseudozufallszahlengenerator vonnöten, nur dass
|für die Sicherheit noch einige zusätzliche Bedingungen erfüllt sein müssen.
|Zum einen darf die von ihm erzeugte Zahlenfolge nicht von einer
|echten Zufallszahlenfolge unterscheidbar sein.
|Zum anderen darf es nicht möglich sein, anhand der Ausgabe des Generators
|auf seinen internen Zustand zu schließen, auch wenn die genaue Funktionsweise bekannt ist.

Das ist praktisch so. Theoretisch geht es doch immer mit Brute Force?

Brute Force ist quasi ein Standard.
Es wird stets untersucht, ob Angriffe mit weniger Aufwand als Brute Force möglich sind.
Wenn das der Fall ist, werden Key und Aufwand beim Angriff verglichen.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html