Besserer Zufall für mehr Sicherheit

Zufallsgeneratoren sind wichtige Elemente bei der Programmierung vieler Anwendungen, etwa bei der Erzeugung kryptographischer Schlüssel oder in Klimamodellen. Programmierer stehen jedoch regelmäßig vor dem Problem, dass ihnen lediglich Pseudo-Zufallsgeneratoren zur Verfügung stehen. Damit sind die so erzeugten Zufallszahlen prinzipiell vorhersagbar. Zwei Forscher wollen nun Abhilfe schaffen.

Programmierer sicherheitskritischer Anwendungen wie Verschlüsselungs-Software bedienen sich allerlei Tricks, um zusätzlich richtigen Zufall für die Initialisierung ihrer Zufallsgeneratoren zu erhalten. Sie verwenden gerade vorhandene Daten, etwa aus Mausbewegungen oder das thermische Rauschen eines Widerstands.

Die Forscher Bernhard Fechner von der Fernuni Hagen und André Osterloh von der BTC AG in Oldenburg haben nun ein Konzept entwickelt, das echten Zufall ins Spiel bringen soll. Sie nutzen dazu ein bekanntes Bauelement elektronischer Schaltungen, das Flipflop. Es nimmt aus einem metastabilen Zustand heraus zufällig und unvorhersehbar einen seiner beiden stabilen Zustände ein und erzeugt so eine zufällige Folge von Nullen und Einsen.

Mit Hilfe eines Felds (Array) solcher Flipflops können Fechner und Osterloh zeigen, dass die Qualität (statistische Zufälligkeit) einer Zufallszahl bereits bei einem kleinen Array um einen Faktor 20 besser ist als bei konventionellen Methoden. Größere Arrays bringen um den Preis einer wachsenden Verzögerung noch besseren Zufall.

Darüber hinaus bietet das Verfahren Schutz vor Manipulationen. Versuche eines Angreifers das Array zu beeinflussen können, abhängig von der Art des Angriffs, bereits durch einfache statistische Analyse erkannt werden.

Bernhard Fechner und André Osterloh haben ihre Arbeit im International Journal of Critical Computer-Based Systems (IJCCBS) veröffentlicht [Int. J. Critical Computer-Based Systems, Vol. 1, Nos. 1/2/3, 2010].