Безопасный генератор паролей на основе генератора псевдослучайных чисел (ГПСЧ)

Содержание

1. Введение

Постоянные сообщения об утечках учетных записей и паролей с веб-сайтов подчеркивают критическую важность информационной безопасности и безопасности паролей. Хотя уязвимости веб-сайтов являются одним из факторов, внутренняя безопасность самого пароля имеет первостепенное значение. К распространенным небезопасным практикам относятся пароли на основе ключевых слов, использование популярных фраз, включение личной информации и повторное использование паролей. Развитие ИИ и больших языковых моделей дополнительно усиливает возможности злоумышленников по подбору паролей.

В данном исследовании предлагается безопасный генератор паролей на основе криптографически стойких генераторов псевдослучайных чисел (ГПСЧ). Он конструирует ГПСЧ с использованием кода аутентификации сообщений с ключом на основе хеш-функции (HMAC), кода аутентификации сообщений на основе шифра (CMAC) или кода аутентификации сообщений KECCAK (KMAC) для получения безопасных случайных чисел, которые затем используются для генерации паролей. Случайность сгенерированных чисел проверяется на соответствие стандарту NIST SP 800-90B с помощью тестов энтропии и тестов на независимость и одинаковую распределенность (IID).

Ключевые вклады:

• Создание безопасных ГПСЧ на основе HMAC, CMAC и KMAC для генерации паролей.
• Анализ безопасности паролей при различных наборах символов и ограничениях длины с сравнением с AES-128/256.
• Эмпирическая валидация с использованием тестов энтропии и IID NIST SP 800-90B.

2. Обзор литературы

2.1. ГПСЧ на основе линейного конгруэнтного метода

Широко используемые в языках, таких как C и Java, ЛКГ генерируют последовательность чисел с помощью линейного рекуррентного соотношения. При заданном начальном значении (сиде) $k$ начальное значение $f_0(k)$ вычисляется как $f_0(k) \equiv a \oplus k \ (\text{mod} \ m)$. Последующие числа генерируются по формуле $f_i(k) \equiv a \times f_{i-1}(k) + c \ (\text{mod} \ m)$. Однако ЛКГ являются небезопасными, так как состояние можно обратить с помощью $f_{i-1}(k) \equiv (f_i(k) - c) \times a^{-1} \ (\text{mod} \ m)$, что раскрывает сид и всю последовательность.

2.2. Безопасный генератор псевдослучайных чисел

Для устранения уязвимостей ЛКГ необходимы криптографически стойкие ГПСЧ. В данной статье рассматриваются три конструкции, рекомендованные NIST.

2.2.1. ГПСЧ на основе HMAC

Безопасность основывается на однонаправленном свойстве хеш-функций (например, SHA2, SHA3). Для ключа $k$ и сообщения $M$ HMAC вычисляется как $r_{hmac}(k, M) = h((k \oplus opad) \ || \ h((k \oplus ipad) \ || \ M))$, где $ipad$ и $opad$ — константы. Для генерации длинного битового потока используется режим счетчика: $M_i = i \ || \ KDF \ || \ 0x00 \ || \ M \ || \ L$, что дает выходные данные $r_{hmac,i}$.

2.2.2. ГПСЧ на основе CMAC

Безопасность основана на стандарте симметричного шифрования AES. Используя режим сцепления блоков шифротекста (CBC) с ключом $k$, сообщение $M$ разбивается на блоки $M'_1, M'_2, ...$. Шифротекст вычисляется итеративно: $c_{i+1} = AES(k, c_i \oplus M'_{i+1})$, где $c_0 = Pad0(0)$. Конечный выход $r_{cmac}$ получается из последнего блока.

2.2.3. ГПСЧ на основе KMAC

Основанный на хеш-функции SHA-3 (KECCAK), KMAC обеспечивает выход переменной длины и считается сильным кандидатом для постквантовой криптографии. Его конструкция следует аналогичному принципу аутентифицированного хеширования, предлагая высокие гарантии безопасности.

2.3. Методы валидации случайности

Стандарт NIST SP 800-90B предоставляет методологии для оценки качества генераторов случайных чисел. Оцениваются два ключевых аспекта:

• Валидация энтропии: Измеряет непредсказуемость или «случайность» на бит в данных. Высокая энтропия критически важна для безопасных паролей.
• Валидация IID (независимость и одинаковое распределение): Проверяет, является ли сгенерированная последовательность статистически независимой и следует ли она одинаковому распределению, гарантируя отсутствие паттернов или корреляций.

3. Предлагаемый безопасный генератор паролей

Архитектура системы включает два основных этапа:

1. Генерация безопасных случайных чисел: Пользователь может опционально предоставить сообщение для хеширования (TBHM). Оно вместе с криптографическим ключом обрабатывается выбранным безопасным ГПСЧ (на основе HMAC/CMAC/KMAC) для получения криптографически стойкой последовательности случайных битов.
2. Генерация пароля: Случайные биты отображаются на определенный пользователем или системой набор символов (например, буквенно-цифровой плюс специальные символы) заданной длины для формирования итогового текстового пароля. Анализируется криптостойкость по отношению к AES-128/256 с учетом энтропии, обеспечиваемой размером набора символов и длиной пароля.

4. Эксперименты и результаты

4.1. Экспериментальная установка

Эксперименты проводились для валидации случайности выходных данных ГПСЧ. Тестовый набор реализовывал процедуры оценки NIST SP 800-90B для оценки энтропии и тестирования IID на больших выборках сгенерированных случайных чисел для всех трех типов ГПСЧ.

4.2. Результаты валидации случайности

Сводка результатов: Предложенные ГПСЧ на основе HMAC, CMAC и KMAC успешно прошли тесты валидации энтропии и IID по NIST SP 800-90B. Сгенерированные последовательности не показали статистически значимых отклонений от истинной случайности, что подтверждает их пригодность для криптографической генерации паролей.

Описание диаграммы (представленной): Столбчатая диаграмма, сравнивающая оценки минимальной энтропии (в битах на бит) для трех типов ГПСЧ с проходным порогом NIST. Все три столбца будут показаны значительно выше пороговой линии, причем KMAC потенциально показывает наивысшее значение, за ним следуют HMAC-SHA3 и CMAC-AES256.

4.3. Анализ производительности

Был проведен сравнительный анализ вычислительной эффективности (например, генераций в секунду). Генераторы на основе CMAC (с использованием аппаратного ускорения AES-NI), как правило, демонстрировали наибольшую пропускную способность, за ними следовали генераторы на основе HMAC (SHA2/SHA3), в то время как KMAC оказался более требовательным к вычислениям, но предлагает надежные свойства постквантовой безопасности.

5. Заключение и дальнейшая работа

В данном исследовании успешно разработан и валидирован безопасный генератор паролей, построенный на основе криптографически стойких ГПСЧ (HMAC, CMAC, KMAC). Безопасность генерируемых паролей проистекает из доказанной стойкости этих базовых криптографических примитивов и подтвержденной высокой случайности выходных данных ГПСЧ. Дальнейшая работа включает интеграцию генератора в расширения браузеров или менеджеры паролей, исследование его использования для генерации криптографических ключей помимо паролей, а также проведение анализа устойчивости к атакам по сторонним каналам для полной системы.

6. Оригинальный анализ и экспертное заключение

Ключевая идея: Эта статья представляет собой прагматичный, ориентированный на инженерию ответ на вечную слабую точку кибербезопасности: пароли, выбираемые людьми. Ее основная ценность заключается не в новой криптографии, а в правильном применении и строгой валидации существующих, проверенных в бою конструкций (HMAC, CMAC, KMAC) для конкретного, высокоэффективного случая использования. Правильно отмечается, что перенос генерации паролей из голов пользователей в валидированный криптографический процесс является фундаментальным улучшением безопасности, аналогичным переходу от симметричной к асимметричной криптографии для обмена ключами.

Логика изложения: Логика выстроена правильно и следует классической схеме прикладного исследования: определение проблемы (слабые пароли) → критика распространенных решений (небезопасные ЛКГ) → предложение надежного решения (генератор на основе КСГПСЧ) → эмпирическая валидация (тесты NIST). Выбор NIST SP 800-90B в качестве эталона валидации отличный, поскольку это де-факто стандарт для оценки случайности в криптографических контекстах, что придает результатам немедленную достоверность.

Сильные стороны и недостатки:
Сильные стороны: Главная сила статьи — ее практическая валидация. Многие предложения останавливаются на этапе проектирования. Подвергнув выходные данные строгим тестам NIST, авторы предоставляют конкретные доказательства безопасности, что крайне важно для внедрения. Включение KMAC, основанного на SHA-3, демонстрирует предусмотрительность в отношении постквантовых соображений, как отмечено в текущем процессе стандартизации постквантовой криптографии NIST.
Недостатки/Упущения: Анализ несколько изолирован. Существенным недостатком является отсутствие обсуждения управления сидом. Безопасность любого ГПСЧ рушится, если его сид предсказуем или скомпрометирован. Как система генерирует, хранит и защищает начальный криптографический ключ для HMAC/CMAC/KMAC? Это так же критично, как и сам алгоритм. Кроме того, хотя сравнение стойкости пароля с AES полезно, более прямое сравнение с существующими генераторами паролей (например, в KeePass или 1Password) и их базовыми ГПСЧ (например, с использованием ChaCha20) дало бы лучшее представление о его конкурентных преимуществах.

Практические выводы: Для специалистов по безопасности эта статья служит руководством. Действие 1: Немедленно отказаться от любого использования ЛКГ или подобных некриптографических ГСЧ (таких как `rand()`) для задач, связанных с безопасностью. Действие 2: При создании или аудите генератора паролей основными пунктами контрольного списка должны быть: 1) Использовать КСГПСЧ (HMAC_DRBG, CTR_DRBG из NIST SP 800-90A или конструкции, представленные здесь), 2) Валидировать его выходные данные с помощью набора тестов, такого как NIST SP 800-90B или Dieharder, и 3) Реализовать надежную генерацию сида из источника высокой энтропии (например, `getrandom()` в Linux). Статья успешно фокусируется на пункте 2, но пункты 1 и 3 являются не менее важными частями полной картины.

7. Технические детали и математическая формулировка

Безопасность предлагаемого генератора зависит от базовых криптографических функций. Ключевые математические операции:

• HMAC: $r_{hmac}(k, M) = h((k \oplus opad) \ || \ h((k \oplus ipad) \ || \ M))$
• CMAC (CBC-MAC): $c_{i+1} = E(k, c_i \oplus M_{i+1})$, где $E$ — блочный шифр (AES).
• Энтропия пароля: Энтропия $H$ сгенерированного пароля равна $H = L \cdot \log_2(N)$, где $L$ — длина пароля, а $N$ — размер набора символов. Для 16-символьного пароля из набора из 94 символов $H \approx 16 \cdot \log_2(94) \approx 105$ бит.

8. Фреймворк анализа и пример использования

Пример использования: Аудит функции сброса пароля веб-приложения
Сценарий: Веб-приложение генерирует временный пароль для пользователей, нажавших «Забыли пароль».
Применение фреймворка:

1. Идентифицировать ГСЧ: Проверить серверный код. Обнаружение `Math.random()` (JavaScript) или простого ЛКГ в PHP было бы критической ошибкой.
2. Оценить источник энтропии: Как инициализируется ГПСЧ? Используется ли системная энтропия (`/dev/urandom`, `CryptGenRandom`)?
3. Сопоставить с предлагаемым решением: Рекомендовать заменить небезопасный ГСЧ модулем, реализующим дизайн из этой статьи — например, функцию на Python, использующую `hmac.new` с SHA256 и сидом из `os.urandom(32)`.
4. Валидировать выходные данные (после внедрения): Сгенерировать выборку из 1 000 000 временных паролей, преобразовать в битовый поток и запустить набор тестов NIST STS (связанный набор тестов) для обеспечения случайности.

Этот фреймворк превращает теорию статьи в конкретный чек-лист для аудита и исправления.

9. Будущие применения и направления

Базовая технология имеет применения за пределами генерации пользовательских паролей:

• Генерация API-ключей и токенов: Создание безопасных, случайных API-ключей и токенов сессий для микросервисных архитектур.
• Безопасные учетные данные по умолчанию: Встраивание такого генератора в прошивку IoT-устройств для создания уникальных, стойких паролей по умолчанию для каждого устройства, что снижает риск массовых атак на основе общих значений по умолчанию.
• Генерация криптографических сидов: Высококачественные выходные данные могут использоваться для инициализации других криптографических систем или для генерации одноразовых номеров (nonce) и векторов инициализации (IV).
• Интеграция с менеджерами паролей: Алгоритм может быть интегрирован в качестве ядра для менеджеров паролей с открытым исходным кодом, обеспечивая прозрачный и проверяемый источник случайности.
• Готовность к постквантовой эре: Дальнейшее исследование и оптимизация генератора на основе KMAC в соответствии со стандартами NIST FIPS 202 и SP 800-185 для подготовки к эпохе постквантовых вычислений.

10. Список литературы

1. M. Bishop, "Computer Security: Art and Science," Addison-Wesley, 2003.
2. NIST, "Special Publication 800-63B: Digital Identity Guidelines," 2017.
3. NIST, "Special Publication 800-90A: Recommendation for Random Number Generation Using Deterministic Random Bit Generators," 2015.
4. NIST, "Special Publication 800-90B: Recommendation for the Entropy Sources Used for Random Bit Generation," 2018.
5. J. Kelsey, B. Schneier, D. Wagner, "Secure Applications of Low-Entropy Keys," ISW '97.
6. D. D. Hwang, B. B. Gupta, "A Study of Password Security and Its Implications," JIS, 2019.
7. NIST, "FIPS 202: SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions," 2015.
8. NIST, "SP 800-185: SHA-3 Derived Functions: cSHAKE, KMAC, TupleHash and ParallelHash," 2016.
9. M. S. Turan, E. Barker, J. Kelsey, "Recommendation for Random Bit Generator (RBG) Constructions," NIST SP 800-90C, 2016.
10. P. G. Neumann, "Illustrative Risks to the Public in the Use of Computer Systems and Related Technology," ACM SIGSOFT, 1995.