Dragon,Rabbit,Spritz: NIST — Statistical Test Suite For Random And Pseudorandom Number Generators...

[Arno Welzel]

Helmut Schellong:

On 05/23/2022 12:51, Arno Welzel wrote:
Helmut Schellong:

On 05/18/2022 14:11, Arno Welzel wrote:
Helmut Schellong:

On 05/17/2022 17:52, Arno Welzel wrote:
Ole Jansen:

[...]
Du widersprichst der Testsuite!

Nein, ich widerspreche deiner Annahme, dass Zufall durch Komprimierung
entsteht.

Das ist keine Annahme von mir, sondern das ist Fakt, bewiesen durch die Testsuite.

Seufz...

Kompriere bitte den String \"Dieser Text ist kein Zufall\" mit LZW.
Wiederhole das dann ein zweites Mal. Vergleiche, ob sich das zweite
Ergebnis vom ersten znterscheidet.

Wenn nicht - warum? Die komprimierte Version sollte doch zufällig sein
und nicht deterministisch.

[...]

Eine solche Komprimierung hinterläßt Daten, die den Ansprüchen an einen CSPRNG genügen.
Bewiesen durch die Testsuite.

So langsam ahne ich, wie Sicherheitslücken trotz vermeintlichem
Expertenwissen entstehen.


--
Arno Welzel
https://arnowelzel.de

 

[Holger Schieferdecker]

Am 23.05.2022 um 14:44 schrieb Arno Welzel:

Helmut Schellong:
Falsch, der Test ist in 100% aller Anwendungen besonders sinnvoll.
Er wird weltweit benutzt, um Bitketten zu validieren, ob sie
den gestellten Anforderungen (an einen CSPRNG) entsprechen.
Der Test ist hierfür eine gültige Referenz.

Dumm nur, wenn die Bitketten ganz einfach zu reproduzieren sind und das
komplette Gegenteil von \"Zufall\" sind. Wenn man nämlich bestimmte
Ausgangsdaten komprimiert, kommt *immer* exakt die gleiche Bitfolge
dabei heraus. Und wenn der Test genau das nicht berücksichtigt, taugt er
nicht als Beurteilung, ob die so produzierten Daten den Anforderungen an
einen CSPRNG genügen.

Kann es eigentlich sein, daß der Streit hier mehr um den Begriff
\"Zufall\" geht?

Soweit ich das verstanden habe, ist ein als Algorithmus implementierter
Zufallszahlengenerator doch immer deterministisch. Die Zahlenfolge, die
ausgegeben wird, ist nur vom Startwert abhängig und reproduzierbar.
Trotzdem kann die Zahlenfolge als Zufallsfolge geeignet sein, wenn sie
gewisse statistische Eigenschaften hat (Gleichverteilung etc.).

Wenn es nicht deterministisch sein darf, muß eine echte Zufallsquelle
(Rauschen, radioaktiver Zerfall, ...) den Startwert generieren.

Ob *jede* stark komprimierte Datei *immer* diese statistischen
Eigenschaften erfüllt, weiß ich nicht. Ich weiß auch nicht, ob man das
mathematisch beweisen könnte. Testen kann man es für eine gegebene
komprimierte Datei wohl.

Holger

 

[Bonita Montero]

Am 22.05.2022 um 10:10 schrieb Helmut Schellong:

On 05/22/2022 04:54, Bonita Montero wrote:
Du lernst echt nix dazu.

Ein Nullargument, mal wieder.
Weil: ein Nicht-Nullargument geht nicht.


Ich bin nicht die einzige die dir sagte, dass sich RNGs
nicht durchgängig empirisch beweisen lassen. Wenn Du einen
kryptografischen RNG ohne Periode hast sowieso nicht.

Ich habe mehrfach versucht, das Prinzip des Vergleiches zu erklären.

Wenn die Eigenschaften eines Objekts absolut festgestellt und anerkannt
wurden,
kann dieses Objekt als Referenz-Objekt gelten.
Wenn nun ein anderes Objekt genau gleich mit der Referenz ist, können die
Eigenschaften der Referenz auf dieses weitere Objekt (als Kopie)
übertragen werden.

Darum ging es in der ganzen Diskussion nicht, sondern darum, dass man
die Qualität eines RNGN nicht empirisch anhand des Outputs beweisen
kann.
Und auch so wie Du es jetzt drehst klappt das nicht, denn eine Algo-
riehmus der 100 Jahre lang die selben Ergebnisse liefert ist eben
kein qualitativer Beweis für die Implementation.
Dass Du die ganze Diskussion bisher nicht verstanden hast, die darauf
basierte, dass Du dich obendrein ursprünglich noch unglücklich und
nicht unmissverständlich ausgedrückt hast, das wundert mich schon.

 

[Helmut Schellong]

On 05/23/2022 14:47, Arno Welzel wrote:

Helmut Schellong:

On 05/23/2022 12:48, Arno Welzel wrote:
Helmut Schellong:

On 05/18/2022 13:46, Arno Welzel wrote:
[...]
Deswegen ist eine andere Bezeichnung für PRNG - pseudorandom number
generator - auch DBRG - deterministic random bit generator. Abhängig von
den Eingangsparametern kommt nämlich *immer* genau derselbe \"Zufall\" heraus.

Das ist für Verschlüsselung jedoch zwingend notwendig.

Ähm - nein.

Doch, das ist so.

Andernfalls könnte nicht entschlüsselt werden.

Aber sicher.


Nein, es kann ohne Determinismus nicht entschlüsselt werden.

Entschlüsseln tut man nicht mit Zufallszahlen, sondern mit einem
Schlüssel. Der ist selbstverständlich deterministisch. Dennoch ist zu
dessen Erzeugung keine deterministische Zahlenfolge nötig.

Du schreibst wirr.
Um die Erzeugung eines Schlüssels geht es gar nicht, sondern um die
Erzeugung eines entschlüsselten Keystreams.
Und der kann nur mittels eines deterministischen Generators erzeugt werden.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Schellong]

On 05/23/2022 15:51, Holger Schieferdecker wrote:

Am 23.05.2022 um 14:44 schrieb Arno Welzel:
Helmut Schellong:
Falsch, der Test ist in 100% aller Anwendungen besonders sinnvoll.
Er wird weltweit benutzt, um Bitketten zu validieren, ob sie
den gestellten Anforderungen (an einen CSPRNG) entsprechen.
Der Test ist hierfür eine gültige Referenz.

Dumm nur, wenn die Bitketten ganz einfach zu reproduzieren sind und das
komplette Gegenteil von \"Zufall\" sind. Wenn man nämlich bestimmte
Ausgangsdaten komprimiert, kommt *immer* exakt die gleiche Bitfolge
dabei heraus. Und wenn der Test genau das nicht berücksichtigt, taugt er
nicht als Beurteilung, ob die so produzierten Daten den Anforderungen an
einen CSPRNG genügen.

Kann es eigentlich sein, daß der Streit hier mehr um den Begriff \"Zufall\" geht?

Soweit ich das verstanden habe, ist ein als Algorithmus implementierter Zufallszahlengenerator doch immer deterministisch. Die Zahlenfolge, die ausgegeben wird, ist nur vom Startwert abhängig und reproduzierbar. Trotzdem kann die Zahlenfolge als Zufallsfolge geeignet sein, wenn sie gewisse statistische Eigenschaften hat (Gleichverteilung etc.).

So ist es.

> Wenn es nicht deterministisch sein darf, muß eine echte Zufallsquelle (Rauschen, radioaktiver Zerfall, ...) den Startwert generieren.

Ja, aber das ist hier kein Thema.
Es geht von Beginn an nur um deterministische Algorithmen, wie Dragon,Rabbit,Spritz.

Ob *jede* stark komprimierte Datei *immer* diese statistischen Eigenschaften erfüllt, weiß ich nicht. Ich weiß auch nicht, ob man das mathematisch beweisen könnte. Testen kann man es für eine gegebene komprimierte Datei wohl.

Ich habe doch den Beweis dafür (Kolmogorow-Komplexität) gepostet.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Schellong]

On 05/23/2022 14:52, Arno Welzel wrote:

Helmut Schellong:

On 05/23/2022 12:51, Arno Welzel wrote:
Helmut Schellong:

On 05/18/2022 14:11, Arno Welzel wrote:
Helmut Schellong:

On 05/17/2022 17:52, Arno Welzel wrote:
Ole Jansen:

[...]
Du widersprichst der Testsuite!

Nein, ich widerspreche deiner Annahme, dass Zufall durch Komprimierung
entsteht.

Das ist keine Annahme von mir, sondern das ist Fakt, bewiesen durch die Testsuite.

Seufz...

Kompriere bitte den String \"Dieser Text ist kein Zufall\" mit LZW.
Wiederhole das dann ein zweites Mal. Vergleiche, ob sich das zweite
Ergebnis vom ersten znterscheidet.

Du schreibst wirr.
Es geht gar nicht um Determinismus dabei, sondern darum, daß ein
starker Komprimierer wie xz eine zufällige Bitfolge hinterläßt.

Ich habe doch bereits geschrieben, daß unter \'zufällig\' im Kontext
die zufällige Abfolge der Bits der Bitkette gemeint ist.

Wenn nicht - warum? Die komprimierte Version sollte doch zufällig sein
und nicht deterministisch.

[...]
Eine solche Komprimierung hinterläßt Daten, die den Ansprüchen an einen CSPRNG genügen.
Bewiesen durch die Testsuite.

So langsam ahne ich, wie Sicherheitslücken trotz vermeintlichem
Expertenwissen entstehen.

Vielleicht solltest Du irgendwann einmal die Beweise beachten!
Hatte ich doch bereits gepostet.

======================================================================================================================Die Kolmogorow-Komplexität (nach Andrei Nikolajewitsch Kolmogorow) ist ein Maß für die Strukturiertheit
einer Zeichenkette und ist durch die Länge des kürzesten Programms gegeben, das diese Zeichenkette erzeugt.
Dieses kürzeste Programm gibt somit eine beste Komprimierung der Zeichenkette an, ohne dass Information verloren geht.

Wenn die Kolmogorow-Komplexität einer Zeichenkette mindestens so groß ist wie die Zeichenkette selbst, dann
bezeichnet man die Zeichenkette als unkomprimierbar, zufällig oder auch strukturlos.
Je näher die Kolmogorow-Komplexität an der Länge der Zeichenkette liegt, desto \'zufälliger\'
ist die Zeichenkette (und desto mehr Information enthält sie).

Die Kolmogorow-Komplexität wird manchmal auch Algorithmische Komplexität oder Beschreibungskomplexität
genannt, darf aber nicht mit der Zeit- oder Raumkomplexität von Algorithmen verwechselt werden.
Etwas präziser ist die Bezeichnung Algorithmischer Informationsgehalt, die auch die Verbindung
zu dem Begriff des Informationsgehalts nach Shannon herstellt.
======================================================================================================================


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Schellong]

On 05/23/2022 20:07, Bonita Montero wrote:

Am 22.05.2022 um 10:10 schrieb Helmut Schellong:
On 05/22/2022 04:54, Bonita Montero wrote:
Du lernst echt nix dazu.

Ein Nullargument, mal wieder.
Weil: ein Nicht-Nullargument geht nicht.


Ich bin nicht die einzige die dir sagte, dass sich RNGs
nicht durchgängig empirisch beweisen lassen. Wenn Du einen
kryptografischen RNG ohne Periode hast sowieso nicht.

Ich habe mehrfach versucht, das Prinzip des Vergleiches zu erklären.

Wenn die Eigenschaften eines Objekts absolut festgestellt und anerkannt wurden,
kann dieses Objekt als Referenz-Objekt gelten.
Wenn nun ein anderes Objekt genau gleich mit der Referenz ist, können die
Eigenschaften der Referenz auf dieses weitere Objekt (als Kopie) übertragen werden.

Darum ging es in der ganzen Diskussion nicht, sondern darum, dass man
die Qualität eines RNGN nicht empirisch anhand des Outputs beweisen
kann.

Doch.
Die Testsuite beweist bei jeder ihrer Anwendung, ob eine Bitkette
den Ansprüchen an Zufälligkeit genügt oder nicht.
Die Testsuite ist ein Validierungs-Werkzeug.

Und auch so wie Du es jetzt drehst klappt das nicht, denn eine Algo-
riehmus der 100 Jahre lang die selben Ergebnisse liefert ist eben
kein qualitativer Beweis für die Implementation.

?

Dass Du die ganze Diskussion bisher nicht verstanden hast, die darauf
basierte, dass Du dich obendrein ursprünglich noch unglücklich und
nicht unmissverständlich ausgedrückt hast, das wundert mich schon.

Auch Du schreibst hier wirr.
Es scheint zwecklos zu sein...


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Rolf Bombach]

Helmut Schellong schrieb:

On 05/19/2022 11:14, Rolf Bombach wrote:

Wie Arno schon implizierte: Spätestens dann, wenn der Schlüssel länger
als der Text ist, kann man den Code nicht mehr knacken. Wenn du deine
Kreditkartennummer mit einem zwanzigstelligen Code verschlüsselst,
erfüllen beim Knacken ganz viele Resultate das Kriterium Kreditkartennummer.


Das wird \'One Time Pad\' genannt.

Ja und nein. Ich meinte eine \"normale\" Verschlüsselung, für die gilt
das auch. One time pad erfordert sicheren Weg für den Schlüssel.

--
mfg Rolf Bombach

 

[Helmut Schellong]

On 05/23/2022 21:18, Rolf Bombach wrote:

Helmut Schellong schrieb:
On 05/19/2022 11:14, Rolf Bombach wrote:

Wie Arno schon implizierte: Spätestens dann, wenn der Schlüssel länger
als der Text ist, kann man den Code nicht mehr knacken. Wenn du deine
Kreditkartennummer mit einem zwanzigstelligen Code verschlüsselst,
erfüllen beim Knacken ganz viele Resultate das Kriterium Kreditkartennummer.


Das wird \'One Time Pad\' genannt.

Ja und nein. Ich meinte eine \"normale\" Verschlüsselung, für die gilt
das auch. One time pad erfordert sicheren Weg für den Schlüssel.

Ja, weshalb ein OneTimePad in der Praxis fast gar nicht angewandt wird.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Rupert Haselbeck]

Arno Welzel schrieb:

Rolf Bombach:
Rupert Haselbeck schrieb:
Helmut Schellong schrieb:
Arno Welzel wrote:
Deswegen ist eine andere Bezeichnung für PRNG - pseudorandom number
generator - auch DBRG - deterministic random bit generator. Abhängig von
den Eingangsparametern kommt nämlich *immer* genau derselbe \"Zufall\" heraus.

Das ist für Verschlüsselung jedoch zwingend notwendig.
Andernfalls könnte nicht entschlüsselt werden.

Unsinn! Das Optimum für sichere Kryptografie sind _echte_ Zufallszahlenfolgen.

Gehts dir etwa nur darum, deinen Ruf als GRÖDAZ zu festigen?

Nein, hier geht es ausschliesslich um Schellong-Bashing, meist von Leuten,
die echt noch weniger Ahnung haben.

Um auf deinen Einwand zu kommen: Wie transportierst du den Schlüssel von
deiner optimalen sicheren Kryptografie?

Was hat die Frage des Schlüsseltauschs damit zu tun, ob man für
Krypografie nur vorhersagbare Zufallszahlen braucht?

Freilich hat das eine absolut nichts mit dem anderen zu tun, aber bei
dem einen oder anderen hier erscheint es mir aus Gründen inzwischen
nicht sinnvoll, selbst bei derartigen grob neben der Sache liegenden
Antworten nachzufragen.
Manchmal wäre es wirklich besser, vor allem auch fürs eigene Renommee,
zunächst mal ein Buch, hier zu den Grundlagen der Kryptografie, zur Hand
zu nehmen, statt im steten Brustton der Überzeugung \"ich weiß alles\"
völlig neben der Sache zu antworten

MfG
Rupert

 

[Rupert Haselbeck]

Helmut Schellong schrieb:

Arno Welzel wrote:
Kompriere bitte den String \"Dieser Text ist kein Zufall\" mit LZW.
Wiederhole das dann ein zweites Mal. Vergleiche, ob sich das zweite
Ergebnis vom ersten znterscheidet.

Du schreibst wirr.
Es geht gar nicht um Determinismus dabei, sondern darum, daß ein
starker Komprimierer wie xz eine zufällige Bitfolge hinterläßt.

Das ist natürlich noch immer falsch. Egal wie stark ein Komprimierer
ist, so ist die von diesem produzierte Bitfolge keineswegs zufällig,
sondern sie hängt ohne jedes Zufallselement streng nur von dessen
Eingabedatenstrom und dem der Verarbeitung derselben zugrundeliegenden
Algorithmus ab. Das sollte selbst dir einleuchten, wenn du mal darüber
nachdenkst, wie denn wohl die Wiedergewinnung der ursprünglichen Daten,
die Dekompression, stattfinden könnte, wären die Daten einer
komprimierten Datei tatsächlich zufällig. Sie mögen, z.B. bei einer
statistischen Analyse, so aussehen, als seien sie zufällig, doch sind
sie das natürlich keineswegs

Ich habe doch bereits geschrieben, daß unter \'zufällig\' im Kontext
die zufällige Abfolge der Bits der Bitkette gemeint ist.

Das hast du. Es ist halt falsch, wie fast jeder hier weiß.

Vielleicht solltest Du irgendwann einmal die Beweise beachten!
Hatte ich doch bereits gepostet.

Das hältst du nur deshalb für \"Beweise\", weil du offensichtlich nicht
verstehst, um was es überhaupt geht.

=======================================================================================================================

Die Kolmogorow-Komplexität (nach Andrei Nikolajewitsch Kolmogorow) ist
ein Maß für die Strukturiertheit
einer Zeichenkette und ist durch die Länge des kürzesten Programms
gegeben, das diese Zeichenkette erzeugt.
Dieses kürzeste Programm gibt somit eine beste Komprimierung der
Zeichenkette an, ohne dass Information verloren geht.

Wenn die Kolmogorow-Komplexität einer Zeichenkette mindestens so groß
ist wie die Zeichenkette selbst, dann
bezeichnet man die Zeichenkette als unkomprimierbar, zufällig oder auch
strukturlos.
Je näher die Kolmogorow-Komplexität an der Länge der Zeichenkette liegt,
desto \'zufälliger\'
ist die Zeichenkette (und desto mehr Information enthält sie).

Die Kolmogorow-Komplexität wird manchmal auch Algorithmische Komplexität
oder Beschreibungskomplexität
genannt, darf aber nicht mit der Zeit- oder Raumkomplexität von
Algorithmen verwechselt werden.
Etwas präziser ist die Bezeichnung Algorithmischer Informationsgehalt,
die auch die Verbindung
zu dem Begriff des Informationsgehalts nach Shannon herstellt.
=======================================================================================================================

Das ist, da korrekt abgeschrieben, freilich richtig. Es hat aber mit der
hier gegenständlichen Frage leider nicht das Geringste zu tun :->

MfG
Rupert

 

[Bernd Laengerich]

Am 23.05.2022 um 21:18 schrieb Rolf Bombach:

Ja und nein. Ich meinte eine \"normale\" Verschlüsselung, für die gilt
das auch. One time pad erfordert sicheren Weg für den Schlüssel.

Man braucht *immer* einen sicheren Weg für den Schlüssel bei symmetrischer
Verschlüsselung. Egal wie dieser beschaffen ist, z.B. über
Hilfstransportverschlüsselung mittels asymmetrischer Verfahren (dort muß dann
nicht der öffentliche Schlüssel sicher transportiert, aber beglaubigt
eingebracht werden) oder als shared secret eingebracht. One time pad ist
*sehr* häufig eingesetzt: Jede PIN-Kartenzahlung in DE mit on-line-PIN
arbeitet so (in CH, BE, NL sehr ähnlich, aber der verwendete symmetrische
Schlüssel wird dort anders abgeleitet). Der verwendete Schlüssel wird synchron
beidseitig von einem Terminalindividuellen Schlüssel abgeleitet. Der übliche
Weg ist die Einbringung der Masterschlüssel über 2 key custodians als 2
\"Hälften\" jeweils in die Key loading center der beteiligten Gerätehersteller
und in das HSM des Acquirers.

Bernd

 

[Helmut Schellong]

On 05/23/2022 21:46, Rupert Haselbeck wrote:

Helmut Schellong schrieb:
Arno Welzel wrote:
Kompriere bitte den String \"Dieser Text ist kein Zufall\" mit LZW.
Wiederhole das dann ein zweites Mal. Vergleiche, ob sich das zweite
Ergebnis vom ersten znterscheidet.

Du schreibst wirr.
Es geht gar nicht um Determinismus dabei, sondern darum, daß ein
starker Komprimierer wie xz eine zufällige Bitfolge hinterläßt.

Das ist natürlich noch immer falsch. Egal wie stark ein Komprimierer ist, so ist die von diesem produzierte Bitfolge keineswegs zufällig, sondern sie hängt ohne jedes Zufallselement streng nur von dessen Eingabedatenstrom und dem der Verarbeitung derselben zugrundeliegenden Algorithmus ab. Das sollte selbst dir einleuchten, wenn du mal darüber nachdenkst, wie denn wohl die Wiedergewinnung der ursprünglichen Daten, die Dekompression, stattfinden könnte, wären die Daten einer komprimierten Datei tatsächlich zufällig. Sie mögen, z.B. bei einer statistischen Analyse, so aussehen, als seien sie zufällig, doch sind sie das natürlich keineswegs

Das ist nicht gemeint, wie ich nun hier zum dritten Mal mitteile:

Wenn im Kontext von \'zufällig\' die Rede ist, meint man stets die
zufällige Abfolge der Bits einer Bitkette.
Das wird weltweit so gehalten.

Ich habe doch bereits geschrieben, daß unter \'zufällig\' im Kontext
die zufällige Abfolge der Bits der Bitkette gemeint ist.

Das hast du. Es ist halt falsch, wie fast jeder hier weiß.

Es ist korrekt.
Ich erspare es mir hier, auch hierzu Beweistexte zu posten.
Es ist mir halt zu blöd.
Wenn ich es korrekt weiß, dann reicht das.

Vielleicht solltest Du irgendwann einmal die Beweise beachten!
Hatte ich doch bereits gepostet.

Das hältst du nur deshalb für \"Beweise\", weil du offensichtlich nicht verstehst, um was es überhaupt geht.

Du redest Dünnschiß und behauptest Dickschiß.

======================================================================================================================>> Die Kolmogorow-Komplexität (nach Andrei Nikolajewitsch Kolmogorow) ist ein Maß für die Strukturiertheit
einer Zeichenkette und ist durch die Länge des kürzesten Programms gegeben, das diese Zeichenkette erzeugt.
Dieses kürzeste Programm gibt somit eine beste Komprimierung der Zeichenkette an, ohne dass Information verloren geht.

Wenn die Kolmogorow-Komplexität einer Zeichenkette mindestens so groß ist wie die Zeichenkette selbst, dann
bezeichnet man die Zeichenkette als unkomprimierbar, zufällig oder auch strukturlos.
Je näher die Kolmogorow-Komplexität an der Länge der Zeichenkette liegt, desto \'zufälliger\'
ist die Zeichenkette (und desto mehr Information enthält sie).

Die Kolmogorow-Komplexität wird manchmal auch Algorithmische Komplexität oder Beschreibungskomplexität
genannt, darf aber nicht mit der Zeit- oder Raumkomplexität von Algorithmen verwechselt werden.
Etwas präziser ist die Bezeichnung Algorithmischer Informationsgehalt, die auch die Verbindung
zu dem Begriff des Informationsgehalts nach Shannon herstellt.
=======================================================================================================================

Das ist, da korrekt abgeschrieben, freilich richtig. Es hat aber mit der hier gegenständlichen Frage leider nicht das Geringste zu tun :-

Doch, es hat _alles_ mit dem Thema zu tun.
Es geht seit Tagen um die zufällige Hinterlassenschaft von Komprimierern.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Hanno Foest]

On 23.05.22 21:18, Helmut Schellong wrote:

Doch.
Die Testsuite beweist bei jeder ihrer Anwendung, ob eine Bitkette
den Ansprüchen an Zufälligkeit genügt oder nicht.

Wenn die Testsuite irgendwas beweisen würde, wäre sie eine Beweis-Suite.
Der Corona-Test ist auch kein Beweis.

> Die Testsuite ist ein Validierungs-Werkzeug.

Eben gerade nicht. Ich hab dir schon in
<jemsegFc7acU1@mid.individual.net> aus der Doku vorlesen müssen, daß das
Werkzeug nur ein \"first step\" auf dem Weg der Überprüfung eines
Zufallsgenerators ist, und gerade keine Cryptanalyse ersetzt. Wäre das
Resultat des Werkzeugs eine Validierung, könnte man sich alles weitere
sparen.

Hanno

--
The modern conservative is engaged in one of man\'s oldest exercises in
moral philosophy; that is, the search for a superior moral justification
for selfishness.
- John Kenneth Galbraith

 

[Bonita Montero]

Doch.
Die Testsuite beweist bei jeder ihrer Anwendung, ob eine Bitkette
den Ansprüchen an Zufälligkeit genügt oder nicht.
Die Testsuite ist ein Validierungs-Werkzeug.

Nein, die macht keine _qualitativen_ Aussagen.

Und auch so wie Du es jetzt drehst klappt das nicht, denn eine Algo-
riehmus der 100 Jahre lang die selben Ergebnisse liefert ist eben
kein qualitativer Beweis für die Implementation.

?

Ich sag ja: Du verstehst nicht was ich sage.
Du willst studiert haben ? Wo ? An der Baumschule ?

 

[Arno Welzel]

Holger Schieferdecker:

Am 23.05.2022 um 14:44 schrieb Arno Welzel:
Helmut Schellong:
Falsch, der Test ist in 100% aller Anwendungen besonders sinnvoll.
Er wird weltweit benutzt, um Bitketten zu validieren, ob sie
den gestellten Anforderungen (an einen CSPRNG) entsprechen.
Der Test ist hierfür eine gültige Referenz.

Dumm nur, wenn die Bitketten ganz einfach zu reproduzieren sind und das
komplette Gegenteil von \"Zufall\" sind. Wenn man nämlich bestimmte
Ausgangsdaten komprimiert, kommt *immer* exakt die gleiche Bitfolge
dabei heraus. Und wenn der Test genau das nicht berücksichtigt, taugt er
nicht als Beurteilung, ob die so produzierten Daten den Anforderungen an
einen CSPRNG genügen.

Kann es eigentlich sein, daß der Streit hier mehr um den Begriff
\"Zufall\" geht?

Soweit ich das verstanden habe, ist ein als Algorithmus implementierter
Zufallszahlengenerator doch immer deterministisch. Die Zahlenfolge, die
ausgegeben wird, ist nur vom Startwert abhängig und reproduzierbar.

Korrekt.

Trotzdem kann die Zahlenfolge als Zufallsfolge geeignet sein, wenn sie
gewisse statistische Eigenschaften hat (Gleichverteilung etc.).

Ja - weil die Zahlenfolge sehr lang ist und man anhand der beobachteten
Zahlen in der Regel nicht einfach auf den verwendeten Startwert
schließen kann.

Bei komprimierten Daten ist das aber nicht so, weil die Komprimierung
von Daten reversibel ist und man daher aus diesen Daten auch wieder die
Ursprungsdaten rekonstruieren kann. Daher ist das Ergebnis auch nur so
\"zufällig\", wie die Ausgangsdaten.

Wenn es nicht deterministisch sein darf, muß eine echte Zufallsquelle
(Rauschen, radioaktiver Zerfall, ...) den Startwert generieren.

Korrekt. Und je nach Anforderung der Anwendung wird das auch genau so
gemacht.

Ob *jede* stark komprimierte Datei *immer* diese statistischen
Eigenschaften erfüllt, weiß ich nicht. Ich weiß auch nicht, ob man das
mathematisch beweisen könnte. Testen kann man es für eine gegebene
komprimierte Datei wohl.

Eben - nur weil *eine* (oder mehrere) Datei(en) einen Test erfüllen,
dass die statistische Verteilung der Bits zufällig genug ist, bedeutet
eben nicht, dass das grundsätzich so ist.


--
Arno Welzel
https://arnowelzel.de

 

[Helmut Schellong]

On 05/23/2022 22:36, Hanno Foest wrote:

On 23.05.22 21:18, Helmut Schellong wrote:

Doch.
Die Testsuite beweist bei jeder ihrer Anwendung, ob eine Bitkette
den Ansprüchen an Zufälligkeit genügt oder nicht.

Wenn die Testsuite irgendwas beweisen würde, wäre sie eine Beweis-Suite. Der Corona-Test ist auch kein Beweis.

Diese Argumentation ist falsch.
Tests beweisen fast immer etwas.
Messungen beweisen fast immer etwas.
Eine TÜV-Prüfung beweist, ob ein Auto VU ist oder nicht.
Messungen beweisen, ob eine lebensgefährliche Spannung da ist oder nicht.
Etc.

Die meisten Dinge lassen sich nicht mathematisch beweisen.
Folglich müssen sie auf andere Weise bewiesen werden.

Die Testsuite ist ein Validierungs-Werkzeug.

Eben gerade nicht. Ich hab dir schon in <jemsegFc7acU1@mid.individual.net> aus der Doku vorlesen müssen, daß das Werkzeug nur ein \"first step\" auf dem Weg der Überprüfung eines Zufallsgenerators ist, und gerade keine Cryptanalyse ersetzt. Wäre das Resultat des Werkzeugs eine Validierung, könnte man sich alles weitere sparen.


Hatte ich bereits gepostet:

|17. National Institute of Standards and Technology.
| A statistical test suite for the validation of random number generators
| and pseudo random number generators for cryptographic applications.
| NIST Special Publication 800-22, http://csrc.nist.gov/rng, 2001.

Und weiter:

|some recommended statistical tests are provided.
|These tests may be useful as a first step in determining whether or not a generator
|is suitable for a particular cryptographic application.
|However, no set of statistical tests can absolutely certify a generator as appropriate
|for usage in a particular application, i.e., statistical testing cannot serve
|as a substitute for cryptanalysis.
|The design and cryptanalysis of generators is outside the scope of this paper.

Du versuchst oben, per falscher Interpretation die Leser aufs Glatteis zu führen.
Ich selbst habe den Link auf die bezogene PDF gepostet.
Zuvor habe ich darin den \'Abstract\' gelesen - und korrekt verstanden.

Die ≤15 statistischen Tests untersuchen _nur_ die Zufälligkeit
jeder beliebigen Bitfolge, die der Suite als Eingabe zugeführt wird.
Die Eigenschaften dieser Bitfolge werden validiert.

Viele weitere Eigenschaften eines Algorithmus\' können _nicht_ untersucht werden.
Der ausgebende Algorithmus an sich wird _gar nicht_ untersucht!
Beispielsweise, wie breit ein Key ist oder ob ein Init-Vektor angegeben werden kann.



--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Schellong]

On 05/24/2022 03:37, Bonita Montero wrote:

Doch.
Die Testsuite beweist bei jeder ihrer Anwendung, ob eine Bitkette
den Ansprüchen an Zufälligkeit genügt oder nicht.
Die Testsuite ist ein Validierungs-Werkzeug.

Nein, die macht keine _qualitativen_ Aussagen.

Hatte ich bereits mehrfach gepostet:

|17. National Institute of Standards and Technology.
| A statistical test suite for the validation of random number generators
| and pseudo random number generators for cryptographic applications.
| NIST Special Publication 800-22, http://csrc.nist.gov/rng, 2001.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Helmut Schellong]

On 05/24/2022 03:37, Bonita Montero wrote:

Doch.
Die Testsuite beweist bei jeder ihrer Anwendung, ob eine Bitkette
den Ansprüchen an Zufälligkeit genügt oder nicht.
Die Testsuite ist ein Validierungs-Werkzeug.

Nein, die macht keine _qualitativen_ Aussagen.

Doch, die macht massenweise qualitative Aussagen.
Nur, irgendwann mußt Du Dir auch mal die Ausgaben der Testsuite anschauen:

http://www.schellong.de/htm/dragon.c.html#ende

0/X * ------ u.a. kennzeichnen Totalausfälle in den Abschlußtabellen

rand() und random() haben nahezu zu 100% ein Totalversagen!
Dragon, Rabbit, Spritz, z.a.xz (zaxz) hingegen haben 100% Erfolg.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/dragon.c.html

 

[Bonita Montero]

Am 24.05.2022 um 11:10 schrieb Helmut Schellong:

On 05/24/2022 03:37, Bonita Montero wrote:
Doch.
Die Testsuite beweist bei jeder ihrer Anwendung, ob eine Bitkette
den Ansprüchen an Zufälligkeit genügt oder nicht.
Die Testsuite ist ein Validierungs-Werkzeug.

Nein, die macht keine _qualitativen_ Aussagen.

Doch, die macht massenweise qualitative Aussagen.
Nur, irgendwann mußt Du Dir auch mal die Ausgaben der Testsuite anschauen:

*indentischbeiß*
Nein, die macht _quantitative_ Aussagen.
Unglaublich.