В идеальном мире такое неопределённое состояние системы теоретически могло бы длиться вечность. Однако в мире реальном даже самый минимальный всплеск теплового шума – какая-нибудь случайная атомная вибрация – внутри схемы обязательно подтолкнёт это симметричное, но крайне нестабильное состояние в одно или другое из стабильных состояний системы.
Иными словами, и здесь исход состояния для этой неопределённой ситуации в цифровой схеме определяется физически случайными свойствами теплового шума. По сути всё, что для этого потребовалось, – это подсоединить два дополнительных транзистора к часам, которые регулярно включают и выключают пару инверторов. Всякий раз, когда тактовые часы тикают, эта схема порождает один случайный бит. А коль скоро в современном микропроцессоре часы тикают с частотой порядка 3 гигагерц, генератор способен выдавать 3 миллиарда случайных битов в секунду.
Теоретически отсюда можно сделать вывод, что процессор имеет возможность просто снимать выходные биты от этой зашиты в него на аппаратном уровне схемы RNG, сразу подавать их в криптографическое приложение и считать свою задачу выполненной. В реальности, однако, эти биты случайны не до такой высокой степени, какую хотелось бы иметь в надёжной криптографии. Грубый поток битов, выходящих из базовой схемы – независимо от того, насколько она хороша, – всё равно может иметь нежелательные статистические сдвиги и корреляции.
А цель конструкторов Intel ставилась так, чтобы построить систему, которая генерирует не просто чисто случайные, а «высококачественные случайные числа», совместимые с общепринятыми криптографическими стандартами. В первую очередь, с критериями NIST SP800-90 Национального института стандартов и технологий США, соответствие которым гарантирует выдачу соответствующего сертификата, а значит, и повсеместное признание схемы в качестве надёжной криптотехнологии.
Чтобы гарантировать высокое качество случайных чисел, порождаемых новым DRNG, в Intel разработали специальный трёхэтапный процесс генерации. Помимо базовой аппаратной схемы (первый этап), данный процесс также предусматривает «кондиционер» (второй этап) и псевдослучайный генератор чисел (заключительный третий этап). В совокупности же вся эта конструкция получила кодовое наименование Bull Mountain.
Не вдаваясь в глубокие технические подробности, можно описать работу двух дополнительных этапов следующим образом.
С выхода аппаратного генератора на вход кондиционера случайные числа подаются пакетами по 512 битов. Этот пакет разбивается на два 256-битных числа, а суть работы кондиционера сводится к тому, что с помощью достаточно сложных, но быстрых математических криптопреобразований он доводит пару данных чисел до кондиций 256-битной последовательности, максимально близкой к статистически идеальному состоянию чисто случайного числа. Можно говорить, что суть этапа кондиционирования – это как бы концентрация всех тех шумовых случайностей, которые способна предоставить двухинверторная аппаратная схема.
Третий этап Bull Mountain объясняется тем, что, хотя новая аппаратная схема генерирует случайные числа из теплового шума намного быстрее, чем её предшественники, она всё ещё не настолько шустра, чтобы отвечать любым нынешним запросам к защищённым компьютерным коммуникациям. Поэтому, дабы позволить Bull Mountain выдавать случайные числа столь же быстро, как программные генераторы псевдослучайных последовательностей (но сохраняя при этом высокое качество подлинно случайных чисел), конструкторы добавили в схему ещё один уровень – PRNG с очень высокой скоростью «засева».
Этот алгоритм использует 256-битные случайные числа от кондиционера, чтобы засеивать ими криптографически надёжный (на основе стандарта AES) генератор псевдослучайных чисел, порождающий последовательности 128-битных чисел. Из одного 256-битного зерна этот псевдослучайный генератор способен выдавать огромное множество псевдослучайных чисел. Понятно, что, когда такие зёрна поступают со скоростью порядка 3 гигагерц, производительность генератора можно сделать очень большой.
В новых микропроцессорах Intel генератор Bull Mountain будет доступен программным приложениям через инструкцию RdRand, которая уже была представлена программистам-разработчикам несколько месяцев назад. Первыми процессорами, которые обеспечат работу RdRand, станут чипы семейства Ivy Bridge.
Эти 22-нанометровые микропроцессоры, как ожидается, должны быть официально представлены в сентябре в рамках конференции разработчиков Intel Developer Forum. Согласно другой, пока неофициальной информации, в Intel намерены объявить о рыночных поставках новых чипов Ivy Bridge в начале 2012 года, примерно в дни январской ярмарки бытовой электроники Consumer Electronics Show.
Читать дальше
