嵌入式系统上的DIY TRNG私钥生成

Question

我试图在一个定制的嵌入式系统上建立这个Ethereum硬件钱包，我不是专家。在谷歌上搜索我发现了这份鲁棒、低成本、可审计的嵌入式系统安全随机数生成文件。当我在这份文件中读到这个建议时，听起来很安全；一个真正的TRNG。在任何一个在线电路生成器中，我都在努力地模拟电路，我想也许我不需要那么复杂的系统。也许使用一些传感器(湿度，光线，振动，声音)，我可以收集外部数据，使用它来种子PRNG，它将是足够安全的。但我既不是密码学专家，也不是私钥生成实践专家。

你认为如何？使用简单的外部传感器来收集熵并播撒PRNG是否足够安全？或者，我应该建立这个TRNG，无论是斗争？使用一种比另一种更有缺点？有什么福利待遇？

Answer 1

最前面的底线:不要这么做。

首先，你做过什么威胁建模？换句话说，如果某人物理上有钱包(设备)，然后打开钱包(设备)，熵的来源就会被攻击(因为它是输入到微控制器的外部电路)。这些电路中的大多数都有以下问题：

• 易受物理/环境攻击(温度、电压故障、电磁干扰等)的影响或攻击
• 衰老。许多这样的电路都有问题，即使仅仅几个月，熵也会下降一个数量级。

此外，看起来(从你引用的PDF )，不包括NRE成本，每单位的成本大约是1.44美元左右？那是QTY 10K。Atmel (现在的微芯片)生产RNG芯片(其他芯片也是如此)，它们能够抵抗物理攻击(mesh)，在QTY 1中大约是0.50美元(参见ATSHA204仅举一个例子)。我认为Atmel芯片在QTY 10K时下降到了30美分。

如果你想在你的实验室工作台和LTSPICE上玩这类电路，那很好，但是如果你想这样做是在一个安全产品中，有更好的路径可供选择。

注意:微控制器w/内置的HRNG/TRNG更难攻击，尽管电源/临时/故障等仍然可能发生。但攻击者必须解除芯片的上限，以篡改从RNG到微控制器CPU的接口。