Zufallszahlen mithilfe kryptographischer Hashes

28/08/2010 - 14:48 von Lewin Bormann | Report spam
Hallo,
ich habe mich in der letzten Zeit mal über diverse Zufallsgeneratoren
schlau gemacht. Dabei hatte ich eine Idee, von der ich wissen wollte,
was Ihr davon haltet. Also:

_Die Erzeugung sicherer Zufallszahlen mithilfe kryptographischer Hashes_

*Verfahren*
Man nimmt eine möglichst "natürliche" Datei, also
- ein (verwackeltes/verrauschtes) Foto
- ein Audio(, auf dem Rauschen zu hören ist)
- ein (verwackeltes/verrauschtes) Video
- eine Textdatei mit zufàlligem, menschengemachtem Buchstabensalat (a
la "uer7S08wejiuosdtq4590wgÄ97WE45I8(z6treh(ß04j7(9840") [Klammmern
meinen optionale Möglichkeiten)

und berechnet aus dieser Datei einen kryptografischen Hash (der nicht
mal so sicher wie SHA512 sein muss, MD4 reicht sogar schon). Dieser ist
bei zwei scheinbar identischen Fotos auch schon völlig verschieden.

Beispiel mithilfe der Unixprogramme "md5sum" und "sha1sum" i.d. Bash:

usr@opensuse113:/media/320 GB HDD/Fotos/Baltrumfotos> md5sum
IMG_1208.JPG IMG_1304.JPG; sha1sum IMG_1208.JPG IMG_1304.JPG
aa128301ad9fec6fec4ead897382eba8 IMG_1208.JPG
14daba29b4f1c28c8a91aee44d16f9b8 IMG_1304.JPG
7d6c0c3c45d57453d9fb41513c9d337c472c9afd IMG_1208.JPG
d70bb33c18d49e6432d947f70625c418a39bad4e IMG_1304.JPG

Die genutzten Fotos sind zufàllig ausgewàhlte Urlaubsfotos.
(Zum Überblick: Die oberen zwei, kurzen Hashes sind MD5, die làngeren
sind SHA1, von den jeweils gleichen Fotos)

*Umrechnung*
Jetzt kann man mit den Hashes machen, was man will, z.B. in
Dezimalzahlen umwandeln oder was auch immer.

*Begründung der Zufàlligkeit (meinerseits)*
Das Bildchiprauschen làsst sich
1. Nicht vorhersagen
2. Nicht reproduzieren,
außerdem sollte es idealerweise von keinen zwei Bildern den gleichen
Hash geben, und wenn, wàre das auch nicht sonderlich schlimm, weil es
eben so selten auftritt.
Und das Bildchiprauschen làsst sich mit dem elektronischen
Diodenrauschen vergleichen, das die NSA zur Generierung von sicheren
Zufallszahlen für Kryptographie verwendet.
Insgesamt làsst sich sagen, dass die Hash-Zufallszahlen _nicht_ von
einem Computer generiert wurden (jedenfalls nur indirekt) und dass die
zugrundeliegenden Daten eine reine Laune der Natur darstellen.

Anm.: Aufgrund der Praxis kann es eigentlich keine zwei pixelgleichen
Bilder geben, selbst, wenn man die Kamera fest befestigt hat und schnell
hintereinander auslöst, eben wegen dem Sensorrauschen.

Habe ich Fehler in meiner Denkweise?
Sind es doch keine echten Zufallszahlen?

Ich wàre dankbar für Antworten...

LB
"Never underestimate the bandwidth of a station wagon full of tapes" --
Andrew Tanenbaum
 

Lesen sie die antworten

#1 Schlaubi
28/08/2010 - 16:44 | Warnen spam
Hallo,


Habe ich Fehler in meiner Denkweise?
Sind es doch keine echten Zufallszahlen?




bei der eingetippten unsinnigen Folge auf der Tastatur wàre ich eher
vorsichtig. Erstens ist die Menge an Tasten eng begrenzt und zweitens
(Beobachtung bei mir, statistisch nicht gesichert) bewegt sich der
Fingerradius dann doch eher nicht so weit vom Mittelpunkt weg (wer sagt
einem schon, dass man auch unbedingt Sonderzeichen nehmen sollte, Zahlen,
Großschreibung... was ich mache, aber ich empfinde das immer als Quàlerei).
Bei den Messverfahren sehe ich eigentlich kein Problem. Man muss sich nur
einer Sache bewusst sein: Es ist egal, welches Verschlüsselungsverfahren man
nimmt, es ist nur wichtig, wieviel Eingabemenge es gibt, und wie diese
statistisch verteilt ist, die zu einem Hash führt. Hier gibt es gewiss
Experten, die mehr mit Elektrotechnik/Elektronik zu tun haben, aber würde
man die von Ihnen angegebenen Signale fourier-transformieren, so zeigen sich
bei zwei Bildern/Tönen hintereinander sicher starke Ähnlichkeiten im
Spektrum, aber dies wàre ja nicht der Fall, Sie reden ja von zufàlligen
Aufnahmen. Solange keine Korrelation der Daten vorhanden ist, sehe ich kein
Problem. Eine miserable digitale Kamera hat bereits sagen wir 2 Megapixel.
Die Systemzeit auf dem Computer ist (glaube ich) in 16 bit abgelegt, bzw.
nun eher in 32 oder 64 bit (was die Systemzeitangabe nicht genauer macht
;) ) - nur als Vergleich.

Mein Eindruck, aber ich bin da kein Experte.

Viele Grüße

Ähnliche fragen