AIS31完整文档.doc

A proposal for:

Functionality classes and evaluation methodology

for true (physical) random number generators

A. Motivation, aims and overview of contents

A.1 动机和目标：虽然随机数在无数加密应用中扮演了重要角色，但是ITSEC和CC并

没有规定任何统一的随机数评估标准。本文描述了对真随机数生成器（即物理随机数生成

器）的评估标准。本文对应于[AIS20]的数学基础。

A.2 内容概述：B章描述了研究对象。C章引进两个功能分级（P1，P2），提供了这种

B. Definitions and notation

B1. 定义：一个真（物理）随机数生成器（缩写为 TRNG）使用来自内部物理噪声源

的噪声信号来产生随机数。后面，我们将直接从模拟噪声信号数字化得到的值称作数字化

噪声信号。术语内部随机数代表数字化噪声信号序列经过数学后处理（可选的；也可见

C.2）得到的值。一个理想随机数生成器（理论上的！）产生独立随机数，这些随机数所有

可能的值都呈现同样的概率。后面，我们认为在线测试是统计测试或者——更精确地说—

—一个应用于由 TRNG 产生的有效工作的数字化噪声信号或者内部随机数的测试规范，目

的是验证 TRNG 功能的正确性。一个由在线测试检测到的明显的统计特征将导致一个噪声

警报，这反过来导致 TRNG 至少是暂时的停止。如果数字化噪声信号序列从某一刻开始是

常数，那么我们说（噪声源）总失败。根据内容，我们认为每比特的熵为（每数字化噪声

声信号序列的分布概率。对于一个好的物理噪声源，后处理过程不是必须的，数字化噪声

信号可以直接被送到输出模块。这种情况下，内部随机数序列就对应的是数字化噪声序列

在（外部）随机数序列的调用下，输出模块会同步这些连续或非周期生成的内部随机序列

噪声源发送的这些输出随机数序列的熵随着产生的每个随机数而增长。

必须阐明：一个物理随机数生成器的行为是否——或者到什么程度——与理想随机数

生成器类似。然而和[AIS20]相比，这个很难提出理论证据。反而，物理随机数生成器的评

估本质上是基于统计测试。在不同潜在攻击的假设的基础上，外部，当然还有内部随机数

的性质由于不同的应用，会有不同的要求。为了考虑这种情况，我们引进了两个功能分级

（P1 和 P2）。对于特定应用， P1 和 P2 级本质上对应于[AIS20]的分级 K1 和 K2，以及

K3 和 K4。

(i)需要的机制强度(ITSEC 即 Information Technology Security Evaluation Criteria)和功能

强度(CC 即 Common Criteria for Information Technology Security Evaluation)下的功能分级

(P1，P2)。

(iia)在 ITSEC E2 的详细设计，以及与 ADV_LLD.1 一致的 CC EAL 4 的低等级设计，

都需要提供真 TRNG 的结构和功能模式的信息，以及评估等级所需的规范形式与规范深度。

对于 ITSEC E1，申请者必须依照[JIL]中 6.5 节( Information Technology Security Evaluation

Criteria ITSEC Joint I nterpretation Library)，描述 TRNG 的机构和功能模式作为机制强度的

（iib）对待执行的 ITSEC E3 或者在 ATE_DPT.2 测试下的 CC EAL5：低水平的设计，

应用者必须提供与目标功能分级一致的统计测试作为证据。

(iii)一份关于噪声信号如何产生的清晰描述，以及为什么数字化噪声信号用这种方式产

生的解释。

+相应功能分级的额外描述在 f)小节。

C.2 TRNG 评估对象的界定：

子生成器。它描述了信号的典型时序处理。网状结构基本上是可能的，例如一个混合了不

同的模拟噪声源和已经数字化的后处理信号，但它使得分析更加复杂和昂贵（例如分解）。

数字化噪声信号的数字后处理过程是可选的。如果不进行数字后处理，数字化噪声信号即

为内部随机数。

C.3 功能分级规范常规规范：

d) 小节描述了特定功能分级的要求。评估所需的细节除了 C.1 (i) – (iii)外，在 f) 小节中。

余下的小节描述和证明了这些要求的选择和目标。i) 和 j) 小节（见 D 章）描述并解释了评

估者的任务。

P1.a）P1 指定条件的定性直观的说明

老化）。

P1.b） 可能的应用

——挑战—响应协议

——公开的传输，非常数的初始向量

——DRNG 的 K1 和 K2 级的种子生成器（[AIS20]）

P1.c） 目标

内部随机数的统计行为应该不显著。这样可以抵抗重放攻击和相关性攻击，这些攻击

是基于加密算法和协议中使用的外部随机数的统计弱点。

P1.d) P1-TRNG 的必要条件：

P1.d)(i) 内部随机数形成的随机向量通过 T0 离散测试。测试步骤和评估规则在 P1.i)(i)

中描述。

P1.d)(ii) 作为一个二进制序列，内部随机数 r

,…以及每个随机数序列映射形成的独

生的随机数输出。作为备选，如果噪声源总失败之后，对每个常数噪声信号序列， TRNG

的行为类似于[AIS20]中定义的 K2-DRNG，它的输出完全可以满足目标应用。

P1.d)(v) 如果机制或功能强度为 “高”：由于特定的外部应用条件(温度、电源电压等)可

能影响噪声源的功能，因此在特定条件下(i)和(ii)的性质必须通过验证。

P1.d)(vi) 如果机制或功能强度为“中”或“高”：为了使 TRNG 运转，在线测试(online test)

被外部触发后必须执行，检查内部随机数的质量。如果根据 TOE，对所有产生的内部随机

数进行这个在线测试，或者是至少以某一固定的时间间隔进行在线测试， TRNG 并不一定

需要具有外部触发在线测试的能力。对于理想的随机数发生器，在一年正常使用的过程中

至少出现一次噪声警报的概率应该≥10

。另外一种应用情况是：允许利用在线测试对数字

化噪声信号序列进行测试，而不是内部随机数。然而，在这种情况下，必须保证数学的后

TRNG 来说，是否恩能够被确定或者可根据外部随机数子序列来猜测出随机数是无所谓的。

为了实现这个目标，外部随机数的统计特性应不限制。换句话说，它们应具有类似的统计