基於偽隨機數產生器（PRNG）嘅安全密碼產生器

1. 引言

近年來，網站帳戶同文字密碼洩漏事件持續發生，凸顯咗資訊同密碼安全嘅極端重要性。除咗網站漏洞之外，密碼本身嘅安全性亦至關重要。常見嘅不安全密碼做法包括基於關鍵字嘅密碼、流行短語密碼、基於用戶資訊嘅密碼，以及重用密碼。人工智能同大型語言模型（LLM）嘅快速發展，進一步增強咗攻擊者猜測密碼嘅能力。

雖然平台採用一次性密碼（OTP）、多因素認證（MFA）同加密密碼儲存等防禦措施，但增強密碼本身嘅固有安全性仍然至關重要。本研究提出一個基於安全偽隨機數產生器（PRNG）嘅安全密碼產生器。該PRNG係使用雜湊訊息鑑別碼（HMAC）、區塊加密訊息鑑別碼（CMAC）或KECCAK訊息鑑別碼（KMAC）構建，用於產生密碼學上安全嘅隨機數，然後用嚟產生密碼。

主要貢獻包括：

提出一個使用基於HMAC、CMAC或KMAC嘅安全PRNG嘅安全密碼產生器框架。
分析唔同字符集同密碼長度下嘅安全性，並與AES-128/256進行比較。
使用NIST SP 800-90B熵測試同獨立同分佈（IID）測試，對產生數字嘅隨機性進行實證驗證。

2. 文獻回顧

2.1. 基於線性同餘產生器嘅偽隨機數產生器

許多程式語言（例如C、Java）都實現咗基於線性同餘產生器（LCG）嘅PRNG。給定一個種子$k$，序列產生方式如下：

$f_0(k) \equiv a \oplus k \ (\text{mod} \ m)$

$f_i(k) \equiv a \times f_{i-1}(k) + c \ (\text{mod} \ m)$ for $i \ge 1$

然而，LCG並唔安全，因為下一個狀態係從前一個狀態線性推導出嚟嘅（$f_{i-1}(k) \equiv (f_i(k) - c) \times a^{-1} \ (\text{mod} \ m)$），攻擊者可以回溯到種子。

2.2. 安全偽隨機數產生器

2.2.1. 基於雜湊訊息鑑別碼（HMAC）

HMAC嘅安全性依賴於密碼學雜湊函數（例如SHA-2、SHA-3）嘅單向特性。對於密鑰$k$同訊息$M$，HMAC計算如下：

$r_{hmac}(k, M) = h((k \oplus opad) \ || \ h((k \oplus ipad) \ || \ M))$

其中$ipad$同$opad$係固定嘅填充常數，$h$係雜湊函數。為咗產生長度$L$嘅隨機位元流，會使用計數器模式，為每個輸出區塊修改訊息：$M_i = i \ || \ \text{KDF} \ || \ 0x00 \ || \ M \ || \ L$，產生$r_{hmac,i}(k, M_i)$。

2.2.2. 基於區塊加密訊息鑑別碼（CMAC）

CMAC嘅安全性基於進階加密標準（AES）。對於密鑰$k$同分割成長度$l_a$嘅區塊$M'_i$嘅訊息$M$，佢以密文區塊鏈接（CBC）模式運作：

$c_{i+1} = AES(k, c_i \oplus M'_{i+1})$，其中$c_0 = Pad0(0)$。

最終輸出$r_{cmac}(k, Split(M))$係從經過特定填充（Pad1）後嘅最後一個密文區塊推導出嚟。

2.2.3. 基於KECCAK訊息鑑別碼（KMAC）

KMAC基於SHA-3（KECCAK）嘅海綿結構，具有靈活性同安全性。如NIST SP 800-108 Rev. 1所述，佢可以類似HMAC咁用於計數器模式，產生確定性、不可預測嘅位元流，適合PRNG用途。

2.3. 驗證隨機性嘅方法

本文採用NIST SP 800-90B框架嚟驗證隨機性，重點關注兩個關鍵方面：

熵估計： 量度產生序列中每個樣本嘅平均不可預測性（以位元計）。高熵對於密碼強度至關重要。
IID（獨立同分佈）測試： 確定樣本係咪統計上獨立且遵循相同分佈。測試失敗表明存在模式或偏差。

3. 基於安全PRNG嘅安全密碼產生器方案

所提出嘅系統架構包括：

輸入： 一個可選嘅用戶提供嘅「待雜湊訊息」（TBHM）同參數（所需密碼長度、字符集）。
安全PRNG核心： 一個使用三種MAC函數（HMAC、CMAC或KMAC）之一，根據NIST SP 800-108以計數器模式構建嘅PRNG。此核心接收TBHM（同一個內部密鑰/種子）以產生密碼學安全嘅偽隨機位元序列。
密碼產生： 將隨機位元映射到用戶指定嘅字符集（例如字母數字+符號）上，以創建所需長度嘅密碼。

安全性分析將產生密碼嘅有效密鑰空間（基於字符集大小$C$同長度$L$，提供$C^L$種可能性）與AES-128（$2^{128}$）同AES-256（$2^{256}$）嘅暴力破解抵抗力進行比較。例如，一個來自94個字符集嘅16字符密碼提供約$94^{16} \approx 2^{105}$種可能性，雖然比AES-128弱，但對於許多用途仍然足夠強韌。

4. 實驗環境與結果

4.1. 實驗設置

進行咗實驗，使用所提出嘅基於HMAC、CMAC同KMAC嘅PRNG產生大量隨機數序列。然後對這些序列進行NIST SP 800-90B測試套件評估。

4.2. 隨機性驗證結果

關鍵發現： 實驗結果表明，所有三種提出嘅PRNG方法（HMAC/SHA-256、CMAC/AES-256、KMAC）產生嘅隨機數，都成功通過咗NIST SP 800-90B指定嘅熵驗證同IID驗證測試。

含義： 這證實咗輸出序列具有高熵，並且冇可檢測嘅統計依賴性或偏差，滿足密碼產生中安全隨機源嘅核心要求。

4.3. 運算效率分析

雖然唔係主要焦點，但本文暗示咗一個權衡。HMAC/SHA-256同KMAC通常喺軟件中非常高效。CMAC/AES喺特定平台上可能具有硬件加速優勢。可以根據部署環境嘅性能限制嚟選擇。

5. 結論與未來工作

本研究成功設計並驗證咗一個基於密碼學強健PRNG（HMAC、CMAC、KMAC）嘅安全密碼產生器框架。產生嘅密碼其安全性源自這些MAC函數嘅已證明特性同底層位元流嘅經驗證高隨機性。

未來方向包括：

將產生器整合到瀏覽器擴展功能或密碼管理員後端。
探索後量子密碼學雜湊函數（例如基於晶格問題）作為PRNG嘅基礎，以確保長期安全性。
在標準密碼學假設下開發正式嘅安全性證明。
創建用戶友好嘅界面，教育用戶密碼熵嘅重要性。

6. 原創分析與專家見解

核心見解： 陳嘅工作係一個務實、符合標準嘅工程解決方案，針對一個基礎安全問題：弱密碼熵。佢正確指出，許多密碼洩漏嘅根本原因唔單止係儲存缺陷，仲包括可預測嘅產生過程。通過將解決方案錨定喺NIST批准嘅結構（HMAC、CMAC、KMAC）同驗證框架（SP 800-90B）中，本研究避免咗為創新而創新嘅密碼學，轉而提供一種可驗證嘅穩健方法。呢種方法反映咗類似Linux中/dev/urandom介面背後嘅哲學，該介面匯聚系統事件嘅熵，但呢度嘅重點係一個確定性、可播種、且用戶可影響嘅過程，適合可重現嘅密碼產生。

邏輯流程： 論證係有條不紊嘅：1）確立問題（弱、可猜測嘅密碼）。2）摒棄常見但有缺陷嘅解決方案（基於LCG嘅RNG）。3）提出具有已證明安全性嘅構建塊（密碼學MAC）。4）根據現有標準（NIST SP 800-108計數器模式）組裝佢哋。5）對照嚴格基準（NIST SP 800-90B）驗證輸出。呢個流程穩健，並反映咗應用密碼學研究中嘅最佳實踐，類似於CycleGAN論文等開創性工作中見到嘅結構化評估，該論文系統地驗證咗跨多個領域同指標嘅圖像翻譯質量。

優點與缺陷： 主要優點係其可靠性。使用經過實戰考驗嘅密碼學原語同NIST指引，將風險降至最低。可選嘅用戶輸入（TBHM）係一個聰明嘅功能，允許個人化但安全嘅種子。然而，一個重大缺陷係缺乏與最先進密碼產生器（例如喺類似情境下使用Argon2或bcrypt進行密鑰延伸嘅產生器）進行直接、比較性嘅安全性分析。與AES暴力破解強度嘅比較有用但過於簡單化。現實世界嘅攻擊向量通常係離線破解雜湊密碼；本文可以通過模擬對抗像Hashcat呢類帶有優化規則集嘅工具嘅抵抗力來加強其論點。此外，雖然NIST測試具有權威性，但佢哋並唔涵蓋所有密碼學特性；討論PRNG實現對旁路攻擊嘅抵抗力將會很有價值。

可行見解： 對於安全架構師，本文提供咗一個現成嘅藍圖。建議1： 實施基於KMAC嘅變體。作為SHA-3嘅衍生品，佢被設計成能夠抵抗理論上喺某些情況下會影響基於SHA-2嘅HMAC嘅長度擴展攻擊，並且代表一個更具未來保障嘅選擇。建議2： 將此產生器整合為企業密碼庫或需要基於策略創建密碼嘅單一登入系統嘅核心引擎。其確定性（相同TBHM + 參數 = 相同密碼）可以成為恢復場景中嘅一個功能。建議3： 用用戶教育來補充此技術解決方案。產生器可以產生一個20字符嘅隨機字串，但如果用戶選擇一個短而易記嘅TBHM同一個8字符長度，安全性就會急劇下降。界面必須強制執行合理嘅預設值（例如，最少12個字符，完整字符集），並視覺化地傳達熵強度，就好似受NCC Group等組織研究啟發嘅密碼強度指示器咁。

7. 技術細節與數學公式

核心安全性依賴於MAC嘅偽隨機函數（PRF）特性。計數器模式下嘅PRNG可以抽象為：

$R_i = PRF(K, \text{Counter} \ || \ \text{Label} \ || \ 0x00 \ || \ \text{Input} \ || \ L)$

其中$PRF$係$HMAC$、$CMAC$或$KMAC$，$K$係一個秘密密鑰，$R_i$係連接形成最終位元流嘅輸出區塊。

密碼映射： 給定一個從位元流推導出嘅隨機整數值$v$同一個大小為$C$嘅字符集，字符索引選擇為：$index = v \mod C$。此過程重複$L$次。

8. 分析框架與概念示例

場景： 一個網絡服務需要為新用戶產生一個高強度、隨機嘅初始密碼。

框架應用：

參數選擇： 服務選擇KMAC256作為PRF，一個系統衍生嘅密碼學密鑰$K_{sys}$安全儲存，以及一個由用戶唯一、不可變嘅UserID同一個時間戳組成嘅TBHM。
過程：
- 輸入：TBHM = "USER12345@2023-10-27T10:30:00Z"，長度$L$ = 16，字符集 = 94個可打印ASCII字符。
- PRNG核心使用$K_{sys}$以計數器模式處理此輸入，產生128個隨機位元（16字符 * log2(94) ≈ 105位元，所以128位元提供充足熵）。
- 位元轉換為字串，例如：s9*!Lq9@Pz%2m#X&
安全特性：
- 不可預測性： 冇$K_{sys}$，即使知道TBHM，輸出亦不可預測。
- 確定性： 同一用戶喺完全相同嘅時刻會得到相同嘅密碼，有助於調試。
- 高熵： 該密碼具有約105位元嘅熵，使暴力破解變得不可行。

9. 未來應用與發展方向

後量子密碼學（PQC）整合： 隨著量子計算嘅發展，SHA-2同AES-256可能變得容易受到Grover算法嘅攻擊。未來版本可以整合PQC標準化嘅雜湊函數（例如基於SPHINCS+）或對稱設計（例如ASCON）作為底層PRF。框架嘅模塊化允許進行此類替換。
去中心化身份同Web3： 該產生器可以改編用於創建確定性、可恢復嘅密碼學種子或區塊鏈錢包嘅助記詞。TBHM可以係用戶嘅生物特徵雜湊 + 一個去中心化標識符（DID）。
硬件安全模組（HSM）增強： 核心PRNG邏輯，特別係使用CMAC/AES嘅部分，可以嵌入到HSM中，用於喺雲端同物聯網環境中產生信任根憑證，提供防篡改嘅密鑰產生。
自適應密碼產生： 系統可以根據目標帳戶嘅敏感度（例如銀行 vs. 論壇），在策略引擎嘅指導下，動態調整字符集或長度。

10. 參考文獻

M. Bellare, R. Canetti, and H. Krawczyk, "Keying Hash Functions for Message Authentication," CRYPTO 1996.
NIST, "Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication," SP 800-38B.
NIST, "SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions," FIPS PUB 202.
NIST, "Recommendation for the Entropy Sources Used for Random Bit Generation," SP 800-90B.
NIST, "Recommendation for Key Derivation Using Pseudorandom Functions," SP 800-108 Rev. 1.
J. Kelsey, B. Schneier, and N. Ferguson, "Yarrow-160: Notes on the Design and Analysis of the Yarrow Cryptographic Pseudorandom Number Generator," SAC 1999.
J. Zhu, T. Park, P. Isola, A.A. Efros, "Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks," ICCV 2017. （引用作為嚴謹方法學評估嘅示例）。
NCC Group, "Password Storage Cheat Sheet," OWASP Foundation. （引用作為實用密碼策略指引嘅來源）。

目錄