Passa al contenuto principale

3.5. Timing and Value of External Events (Temporizzazione e Valore degli Eventi Esterni)

3.5. Timing and Value of External Events (Temporizzazione e Valore degli Eventi Esterni)

È possibile misurare la temporizzazione e il contenuto del movimento del mouse, dei colpi di tasti e di eventi utente simili. Questa è una fonte ragionevole di dati non indovinabili, con alcune qualifiche. Su alcune macchine, l'input come i colpi di tasti è bufferizzato. Anche se la temporizzazione inter-keystroke dell'utente può avere variazione e imprevedibilità sufficienti, potrebbe non esserci un modo facile per accedere a quella variazione. Un altro problema è che non esiste un metodo standard per campionare i dettagli di temporizzazione. Questo rende difficile utilizzare questa tecnica per costruire software standard destinato alla distribuzione su una vasta gamma di macchine.

La quantità di movimento del mouse e i colpi di tasti effettivi sono solitamente più facili da accedere rispetto alle temporizzazioni, ma possono produrre meno imprevedibilità perché l'utente può fornire input altamente ripetitivo.

Altri eventi esterni, come i tempi di arrivo dei pacchetti di rete e le lunghezze, possono anche essere utilizzati, ma solo con grande attenzione. In particolare, la possibilità di manipolazione di tali misurazioni del traffico di rete da parte di un avversario e la mancanza di cronologia all'avvio del sistema devono essere attentamente considerate. Se questo input è soggetto a manipolazione, non deve essere considerato affidabile come fonte di entropia.

In linea di principio, quasi qualsiasi sensore esterno, come la ricezione radio grezza o il rilevamento della temperatura in computer adeguatamente equipaggiati, può essere utilizzato. Ma in ogni caso, deve essere data attenta considerazione a quanto questi dati siano soggetti a manipolazione avversaria e a quanta entropia possano effettivamente fornire.

Le tecniche sopra sono abbastanza potenti contro gli attaccanti che non hanno accesso alle quantità misurate. Ad esempio, queste tecniche sarebbero potenti contro gli attaccanti offline che non avevano accesso all'ambiente di uno e che stavano cercando di decifrare il seed casuale di uno dopo il fatto. In tutti i casi, più accuratamente si può misurare la temporizzazione o il valore di un sensore esterno, più rapidamente si possono generare bit.

Ultimo aggiornamento il