Безопасный генератор паролей на основе генератора псевдослучайных чисел (ГПСЧ)

Содержание

• 1. Введение
• 2. Обзор литературы
  • 2.1. Генератор псевдослучайных чисел на основе линейного конгруэнтного метода
  • 2.2. Безопасный генератор псевдослучайных чисел
    • 2.2.1. На основе кода аутентификации сообщений с использованием хеш-функций (HMAC)
    • 2.2.2. На основе кода аутентификации сообщений с использованием шифров (CMAC)
    • 2.2.3. На основе кода аутентификации сообщений KECCAK (KMAC)
  • 2.3. Методы проверки случайности
• 3. Предлагаемый безопасный генератор паролей на основе безопасного ГПСЧ
• 4. Экспериментальная среда и результаты
  • 4.1. Экспериментальная установка
  • 4.2. Результаты проверки случайности
  • 4.3. Анализ вычислительной эффективности
• 5. Заключение и дальнейшая работа
• 6. Оригинальный анализ и экспертное мнение
• 7. Технические детали и математические формулировки
• 8. Аналитическая структура и концептуальный пример
• 9. Будущие приложения и направления развития
• 10. Ссылки

1. Введение

В последние годы постоянно поступают сообщения об утечках учетных записей на веб-сайтах и текстовых паролей, что подчеркивает критическую важность информационной безопасности и безопасности паролей. Помимо уязвимостей веб-сайтов, безопасность самого пароля имеет первостепенное значение. К распространенным небезопасным практикам относятся пароли на основе ключевых слов, популярных фраз, информации о пользователе, а также повторное использование паролей. Быстрое развитие искусственного интеллекта и больших языковых моделей (LLM) дополнительно усиливает возможности злоумышленников по подбору паролей.

Хотя платформы используют такие средства защиты, как одноразовые пароли (OTP), многофакторная аутентификация (MFA) и зашифрованное хранение паролей, повышение собственной безопасности паролей остается крайне важным. В данном исследовании предлагается безопасный генератор паролей на основе безопасного генератора псевдослучайных чисел (ГПСЧ). ГПСЧ строится с использованием кода аутентификации сообщений на основе хеш-функций (HMAC), шифров (CMAC) или KECCAK (KMAC) для генерации криптографически стойких случайных чисел, которые затем используются для создания паролей.

Основные вклады работы:

• Предложение структуры безопасного генератора паролей с использованием безопасных ГПСЧ на основе HMAC, CMAC или KMAC.
• Анализ безопасности при различных наборах символов и длинах паролей, сравнение с AES-128/256.
• Эмпирическая проверка случайности генерируемых чисел с использованием тестов на энтропию и независимость/одинаковую распределенность (IID) по NIST SP 800-90B.

2. Обзор литературы

2.1. Генератор псевдослучайных чисел на основе линейного конгруэнтного метода

Многие языки программирования (например, C, Java) реализуют ГПСЧ на основе линейных конгруэнтных генераторов (ЛКГ). При заданном начальном значении (seed) $k$ последовательность генерируется как:

$f_0(k) \equiv a \oplus k \ (\text{mod} \ m)$

$f_i(k) \equiv a \times f_{i-1}(k) + c \ (\text{mod} \ m)$ для $i \ge 1$

Однако ЛКГ небезопасны, поскольку следующее состояние линейно выводится из предыдущего ($f_{i-1}(k) \equiv (f_i(k) - c) \times a^{-1} \ (\text{mod} \ m)$), что позволяет злоумышленнику вернуться к начальному значению.

2.2. Безопасный генератор псевдослучайных чисел

2.2.1. На основе кода аутентификации сообщений с использованием хеш-функций (HMAC)

Безопасность HMAC основывается на однонаправленности криптографических хеш-функций (например, SHA-2, SHA-3). Для ключа $k$ и сообщения $M$ HMAC вычисляется как:

$r_{hmac}(k, M) = h((k \oplus opad) \ || \ h((k \oplus ipad) \ || \ M))$

где $ipad$ и $opad$ — фиксированные константы дополнения, а $h$ — хеш-функция. Для генерации случайного битового потока длины $L$ используется режим счетчика, модифицирующий сообщение для каждого выходного блока: $M_i = i \ || \ \text{KDF} \ || \ 0x00 \ || \ M \ || \ L$, получая $r_{hmac,i}(k, M_i)$.

2.2.2. На основе кода аутентификации сообщений с использованием шифров (CMAC)

Безопасность CMAC основана на стандарте симметричного шифрования AES. Для ключа $k$ и сообщения $M$, разделенного на блоки $M'_i$ длины $l_a$, он работает в режиме сцепления блоков шифротекста (CBC):

$c_{i+1} = AES(k, c_i \oplus M'_{i+1})$, где $c_0 = Pad0(0)$.

Конечный выход $r_{cmac}(k, Split(M))$ получается из последнего блока шифротекста после специального дополнения (Pad1).

2.2.3. На основе кода аутентификации сообщений KECCAK (KMAC)

KMAC основан на губчатой конструкции SHA-3 (KECCAK), предлагая гибкость и безопасность. Его можно использовать аналогично HMAC в режиме счетчика для генерации детерминированного, непредсказуемого битового потока, пригодного для целей ГПСЧ, как описано в NIST SP 800-108 Rev. 1.

2.3. Методы проверки случайности

В статье принята структура NIST SP 800-90B для проверки случайности, сфокусированная на двух ключевых аспектах:

• Оценка энтропии: Измеряет среднюю непредсказуемость (в битах) на выборку в генерируемой последовательности. Высокая энтропия критически важна для стойкости пароля.
• IID-тестирование (независимость и одинаковая распределенность): Определяет, являются ли выборки статистически независимыми и следуют ли они одинаковому распределению. Неудача указывает на наличие шаблонов или смещений.

3. Предлагаемый безопасный генератор паролей на основе безопасного ГПСЧ

Предлагаемая архитектура системы включает:

1. Входные данные: Опциональное пользовательское «Сообщение для хеширования» (TBHM) и параметры (желаемая длина пароля, набор символов).
2. Ядро безопасного ГПСЧ: ГПСЧ, построенный с использованием одной из трех функций MAC (HMAC, CMAC или KMAC) в режиме счетчика, согласно NIST SP 800-108. Это ядро принимает TBHM (и внутренний ключ/начальное значение) для генерации криптографически стойкой псевдослучайной битовой последовательности.
3. Генерация пароля: Случайные биты отображаются на указанный пользователем набор символов (например, буквенно-цифровые + символы) для создания пароля нужной длины.

Анализ безопасности сравнивает эффективное пространство ключей генерируемых паролей (основанное на размере набора символов $C$ и длине $L$, что дает $C^L$ возможностей) с устойчивостью к полному перебору для AES-128 ($2^{128}$) и AES-256 ($2^{256}$). Например, 16-символьный пароль из набора из 94 символов предлагает ~$94^{16} \approx 2^{105}$ возможностей, что слабее, чем AES-128, но все еще надежно для многих целей.

4. Экспериментальная среда и результаты

4.1. Экспериментальная установка

Были проведены эксперименты по генерации больших последовательностей случайных чисел с использованием предлагаемых ГПСЧ на основе HMAC, CMAC и KMAC. Затем эти последовательности были подвергнуты набору тестов NIST SP 800-90B.

4.2. Результаты проверки случайности

Ключевой вывод: Экспериментальные результаты показали, что случайные числа, сгенерированные всеми тремя предложенными методами ГПСЧ (HMAC/SHA-256, CMAC/AES-256, KMAC), успешно прошли как проверку энтропии, так и IID-тесты, указанные в NIST SP 800-90B.

Значение: Это подтверждает, что выходные последовательности обладают высокой энтропией и не показывают обнаруживаемых статистических зависимостей или смещений, удовлетворяя основному требованию к безопасному источнику случайности для генерации паролей.

4.3. Анализ вычислительной эффективности

Хотя это и не является основной темой, в статье подразумевается компромисс. HMAC/SHA-256 и KMAC, как правило, очень эффективны в программном обеспечении. CMAC/AES может иметь преимущества аппаратного ускорения на определенных платформах. Выбор может быть адаптирован в зависимости от ограничений производительности среды развертывания.

5. Заключение и дальнейшая работа

В данном исследовании успешно разработана и проверена структура безопасного генератора паролей на основе криптографически стойких ГПСЧ (HMAC, CMAC, KMAC). Безопасность генерируемых паролей проистекает из доказанных свойств этих функций MAC и подтвержденной высокой случайности базового битового потока.

Будущие направления включают:

• Интеграцию генератора в расширения браузеров или бэкенд-системы менеджеров паролей.
• Исследование постквантовых криптографических хеш-функций (например, на основе решетчатых задач) в качестве основы для ГПСЧ для обеспечения долгосрочной безопасности.
• Разработку формального доказательства безопасности в рамках стандартных криптографических предположений.
• Создание удобного интерфейса, который обучает пользователей важности энтропии пароля.

6. Оригинальный анализ и экспертное мнение

Ключевая идея: Работа Чена представляет собой прагматичное, соответствующее стандартам инженерное решение фундаментальной проблемы безопасности: слабой энтропии паролей. Она правильно определяет, что коренной причиной многих утечек паролей являются не только недостатки хранения, но и предсказуемость их генерации. Основывая решение на одобренных NIST конструкциях (HMAC, CMAC, KMAC) и структурах проверки (SP 800-90B), исследование избегает криптографической новизны ради самой новизны и вместо этого предлагает проверяемо надежный метод. Этот подход отражает философию, лежащую в основе устоявшихся систем, таких как интерфейс /dev/urandom в Linux, который агрегирует энтропию из системных событий, но здесь фокус смещен на детерминированный, инициализируемый и управляемый пользователем процесс, подходящий для воспроизводимой генерации паролей.

Логическая последовательность: Аргументация методична: 1) Установление проблемы (слабые, угадываемые пароли). 2) Отказ от распространенных, но ошибочных решений (ГПСЧ на основе ЛКГ). 3) Предложение строительных блоков с доказанной безопасностью (криптографические MAC). 4) Сборка их в соответствии с существующими стандартами (режим счетчика NIST SP 800-108). 5) Проверка выходных данных по строгим эталонам (NIST SP 800-90B). Эта последовательность надежна и отражает лучшие практики в прикладных криптографических исследованиях, аналогично структурированной оценке, наблюдаемой в основополагающих работах, таких как статья CycleGAN, которая систематически проверяла качество перевода изображений по нескольким доменам и метрикам.

Сильные стороны и недостатки: Основная сила — это надежность. Использование проверенных в бою криптографических примитивов и руководств NIST минимизирует риски. Опциональный пользовательский ввод (TBHM) — это умная функция, позволяющая использовать персонализированные, но безопасные начальные значения. Однако существенным недостатком является отсутствие прямого сравнительного анализа безопасности с современными генераторами паролей, такими как использующие Argon2 или bcrypt для растяжения ключей в аналогичном контексте. Сравнение с устойчивостью AES к полному перебору полезно, но упрощенно. Реальный вектор атаки часто заключается в офлайн-взломе хешированных паролей; статья могла бы усилить свою позицию, смоделировав устойчивость к таким инструментам, как Hashcat, с оптимизированными наборами правил. Кроме того, хотя тесты NIST авторитетны, они не являются исчерпывающими для всех криптографических свойств; обсуждение устойчивости к атакам по сторонним каналам на реализацию ГПСЧ было бы ценным.

Практические рекомендации: Для архитекторов безопасности эта статья предоставляет готовый план. Рекомендация 1: Реализовать вариант на основе KMAC. Как производная SHA-3, он разработан для устойчивости к атакам на расширение длины, которые теоретически затрагивают HMAC на основе SHA-2 в определенных сценариях, и представляет собой более перспективный выбор. Рекомендация 2: Интегрировать этот генератор в качестве основного механизма для корпоративных хранилищ паролей или систем единого входа (SSO), где требуется создание паролей на основе политик. Его детерминированная природа (одинаковые TBHM + параметры = одинаковый пароль) может быть полезной функцией для сценариев восстановления. Рекомендация 3: Дополнить это техническое решение обучением пользователей. Генератор может создать 20-символьную случайную строку, но если пользователь выберет короткий, запоминающийся TBHM и длину в 8 символов, безопасность резко упадет. Интерфейс должен обеспечивать разумные значения по умолчанию (например, минимум 12 символов, полный набор символов) и визуально передавать силу энтропии, подобно индикаторам надежности пароля, основанным на исследованиях таких организаций, как NCC Group.

7. Технические детали и математические формулировки

Основная безопасность опирается на свойство псевдослучайной функции (PRF) кодов MAC. ГПСЧ в режиме счетчика можно абстрагировать как:

$R_i = PRF(K, \text{Counter} \ || \ \text{Label} \ || \ 0x00 \ || \ \text{Input} \ || \ L)$

где $PRF$ — это $HMAC$, $CMAC$ или $KMAC$, $K$ — секретный ключ, а $R_i$ — выходные блоки, объединяемые для формирования конечного битового потока.

Отображение на пароль: Для заданного случайного целочисленного значения $v$, полученного из битового потока, и набора символов размера $C$, индекс символа выбирается как: $index = v \mod C$. Это повторяется $L$ раз.

8. Аналитическая структура и концептуальный пример

Сценарий: Веб-сервису необходимо сгенерировать высоконадежный случайный начальный пароль для новых пользователей.

Применение структуры:

1. Выбор параметров: Сервис выбирает KMAC256 в качестве PRF, криптографический ключ $K_{sys}$, полученный из системы и хранящийся безопасно, и TBHM, состоящий из уникального, неизменяемого UserID пользователя и временной метки.
2. Процесс:
   • Входные данные: TBHM = "USER12345@2023-10-27T10:30:00Z", Длина $L$ = 16, Набор символов = 94 печатаемых ASCII.
   • Ядро ГПСЧ обрабатывает это с $K_{sys}$ в режиме счетчика для генерации 128 случайных бит (16 символов * log2(94) ≈ 105 бит, поэтому 128 бит обеспечивают достаточную энтропию).
   • Биты преобразуются в строку, например: s9*!Lq9@Pz%2m#X&
3. Свойства безопасности:
   • Непредсказуемость: Без знания $K_{sys}$ выходные данные непредсказуемы, даже если TBHM известен.
   • Детерминированность: Тот же пользователь в тот же момент времени получит тот же пароль, что помогает в отладке.
   • Высокая энтропия: Пароль имеет энтропию ~105 бит, что делает полный перебор неосуществимым.

9. Будущие приложения и направления развития

• Интеграция постквантовой криптографии (PQC): С развитием квантовых вычислений SHA-2 и AES-256 могут стать уязвимыми для алгоритма Гровера. Будущие версии могут интегрировать стандартизированные PQC хеш-функции (например, на основе SPHINCS+) или симметричные конструкции (например, ASCON) в качестве базовой PRF. Модульность структуры позволяет осуществить такую замену.
• Децентрализованная идентификация и Web3: Генератор может быть адаптирован для создания детерминированных, восстанавливаемых криптографических начальных значений или мнемонических фраз для блокчейн-кошельков. TBHM может представлять собой хеш биометрических данных пользователя + децентрализованный идентификатор (DID).
• Усиление аппаратных модулей безопасности (HSM): Основная логика ГПСЧ, особенно с использованием CMAC/AES, может быть встроена в HSM для генерации учетных данных корня доверия в облачных и IoT-средах, обеспечивая устойчивую к несанкционированному доступу генерацию ключей.
• Адаптивная генерация паролей: Система могла бы динамически корректировать набор символов или длину на основе чувствительности целевой учетной записи (например, банковский счет vs. форум), руководствуясь механизмами политик.

10. Ссылки

1. M. Bellare, R. Canetti, and H. Krawczyk, "Keying Hash Functions for Message Authentication," CRYPTO 1996.
2. NIST, "Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication," SP 800-38B.
3. NIST, "SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions," FIPS PUB 202.
4. NIST, "Recommendation for the Entropy Sources Used for Random Bit Generation," SP 800-90B.
5. NIST, "Recommendation for Key Derivation Using Pseudorandom Functions," SP 800-108 Rev. 1.
6. J. Kelsey, B. Schneier, and N. Ferguson, "Yarrow-160: Notes on the Design and Analysis of the Yarrow Cryptographic Pseudorandom Number Generator," SAC 1999.
7. J. Zhu, T. Park, P. Isola, A.A. Efros, "Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks," ICCV 2017. (Цитируется как пример строгой методологической оценки).
8. NCC Group, "Password Storage Cheat Sheet," OWASP Foundation. (Цитируется как источник практических рекомендаций по политикам паролей).