11'2011 - Wojskowy Instytut ÅÄ czności

Marek LEŚNIEWICZ*Sprzętowa generacja ciągów losowychz przepływnością 100 Mbit/sLosowe ciągi binarne – dalej będą nazywane krótko ciągamilosowymi – mają liczne i poważne zastosowania w wielu dziedzinachnauki i techniki. Do najważniejszych należą zastosowaniaw kryptografii, statystyce, obliczeniach numerycznych, symulacjachstochastycznych i cyfrowym przetwarzaniu sygnałów,a ostatnio w technice algorytmów randomizowanych. Niestety,z powodu braku źródeł ciągów prawdziwie losowych [2], [6],w powyższych zastosowaniach rutynowo stosuje się ciągi pseudolosowegenerowane algorytmicznie. Prowadzi to najczęściejdo złych wyników aplikacyjnych, ponieważ ciągi te w ogólnościnie mają zadowalających właściwości i parametrów statystycznych,a w szczególności właściwości ergodyczności (kolejnefragmenty tego samego ciągu wykazują zmienność właściwościi parametrów statystycznych), a nawet stacjonarności (dwa ciągigenerowane dwoma pozornie podobnymi algorytmami mają innewłaściwości i parametry) [2]. Zasadniczym problemem w wytwarzaniui aplikacji algorytmicznych ciągów pseudolosowych jestich nieokreśloność. Ciągi te nie mają a priori matematycznieudowodnionych właściwości i parametrów probabilistycznych,zatem pozostają one nieznane i przed użyciem konkretnej próbydanego ciągu jej losowość w sensie właściwości i parametrówstatystycznych musi zostać a posteriori zweryfikowana metodamipomiarowymi [2], [19]. Ponieważ taka weryfikacja odbywasię zwykle na relatywnie nielicznych próbach ciągu, to wynikiweryfikacji dla części tych prób są pozytywne, dla części zaśnegatywne, co uniemożliwia postawienie hipotezy o bezwarunkowejlosowości danego ciągu. Ponadto nader często wyniki tezależą od doboru warunków początkowych algorytmu generującegodany ciąg, co oczywiście wyklucza postawienie tezy o jegoergodyczności, a w konsekwencji stacjonarności.Problem braku źródeł ciągów prawdziwie losowych jestwręcz ogólnoświatowy. Można tylko wspomnieć, że zapowiadaneod wielu lat przez NSA (National Security Agency) [14], [15]czy BSI (Bundesamt für Sicherheit in der Informationstechnik) [7],[8] [9] standardy generacji do dziś nie ujrzały światła dziennegonawet w postaci draftów, a na stronach NIST (National InstituteStandards and Technology – [http://csrc.nist.gov/groups/ST/toolkit/random_number.html]) wciąż rekomenduje się zastępcząmetodę generacji w opisanej powyżej postaci, z zaleceniem użyciatylko losowych warunków początkowych procesu. Abstrahującod samej metody generacji, w przypadku źródła warunkówpoczątkowych można również mieć wątpliwość „skąd jewziąć”. Problem można zatem zamknąć znaną sentencją Johnavon Neumanna: anyone who considers arithmetical methodsof producing random digits is, of course, in a state of sin, czylikażdy, kto skłania się ku algorytmicznym metodom generacji liczblosowych, jest w stanie (naukowego) grzechu. W dalszych rozważaniachuwaga zostanie zatem skupiona wyłącznie na sprzętowejgeneracji ciągów prawdziwie losowych. Istnieją bowiemgeneratory ciągów prawdziwie losowych TRNG (True RandomNumber Generator), stanowiące jednak właśnie układy sprzętowe* Zakład Kryptologii Wojskowego Instytutu Łączności,e-mail: m.lesniewicz@wil.waw.pl, marek.leśniewicz@op.plw sensie źródła losowości w postaci układu niealgorytmicznego.Najczęściej jest to dioda lawinowa, generująca tzw. losowysygnał telegraficzny RTS (Random Telegraph Signal), opisywanybinarnym sygnałem Poissona i uznawany za najlepsze z możliwychprzybliżenie modelu źródła losowości [5]. Znane i uznanerozwiązania generatorów sprzętowych, mające formalny certyfikati rynkowo dostępne, są nieliczne i mają dwie zasadniczewady: bardzo duże koszty samego urządzenia i jego eksploatacjioraz brak a priori matematycznie udowodnionych właściwościi parametrów probabilistycznych, zatem istnieje konieczność ichweryfikacji a posteriori statystycznymi metodami pomiarowymiwobec każdej próby wygenerowanego ciągu.W niniejszym artykule zostaną przedstawione matematyczno-technicznepodstawy metody generacji i fizycznego układugeneratora, realizującego sprzętową generację ciągów losowychz potencjalną przepływnością 100 Mbit/s, wsparte matematycznymdowodem ich losowości. Gwarantuje on a priori uzyskiwanieciągów o założonych właściwościach i parametrach probabilistycznych,które a posteriori mogą być ponadto potwierdzanebadaniami statystycznymi.Prace nad powyższymi problemami są prowadzone odponad dziesięciu lat w Zakładzie Kryptologii Wojskowego InstytutuŁączności. Stanowią one kontynuację procesu naukowobadawczego,w wyniku którego powstał już sprzętowy generatorciągów losowych o symbolu SGCL-1 i przepływności 80 kbit/s(opracowany w roku 2001 i mający od 2005 roku bezterminowycertyfikat Wojskowych Służb Informacyjnych), a następnie opisanydalej generator SGCL-1MB o przepływności 8 Mbit/s (opracowanyw roku 2007 i mający od 2011 r. bezterminowy certyfikatSłużby Kontrwywiadu Wojskowego). Są to obecnie jedyne uznanerozwiązania krajowe [http://www.skw.gov.pl/ZBIN/lista_certyfikowanych_wyrobow.htm],w przypadku SGCL-1MB niemająceponadto żadnego światowego odpowiednika.Intencja skonstruowania kolejnego generatora o przepływności100 Mbit/s – roboczy symbol SGCL-100M – wynika stąd, żew pewnej części współczesnych zastosowań są potrzebne próbyciągów losowych o bardzo dużych liczebnościach, sięgającychgigabajtów na jedno obliczenie czy symulację. Przy przepływności100 Mbit/s próba ciągu o liczebności 1 GB byłaby generowanaw czasie nieprzekraczającym dwóch minut, w porównaniuz około dwoma tygodniami dla SGCL-1 czy dwudziestoma minutamidla SGCL-1MB.Ponieważ generator o takich właściwościach i parametrachbędzie urządzeniem złożonym i niestety dość kosztownym, to –uwzględniając jego bardzo dużą przepływność – można by gostosować jako źródłowy układ dla serwerów ciągów losowychw centrach naukowo-badawczych itp. W przypadku ciągłej generacjiciągu z przepływnością 100 Mbit/s i bezpośredniego, bezstratnegozapisu do pamięci serwera, generator będzie w stanieoddać nieco ponad 1 TB = 10 12 bajtów na dobę. Zapisane próbyciągów będą mogły być następnie w dowolnym czasie pobieraneprzez użytkowników, np. przez sieć komputerową i wykorzystywanejako ciągi jednorazowe OTP (One Time Pad) albodo wielokrotnych zastosowań, np. badania tym samym ciągiemzbioru różnych algorytmów randomizowanych. Należy jednakzastrzec, że w większości zastosowań pojęcie próby ciągu loso-1608 PRZEGLĄD TELEKOMUNIKACYJNY • ROCZNIK LXXXIV • i WIADOMOŚCI TELEKOMUNIKACYJNE • ROCZNIK LXXX • nr 11/2011