CPU定时抖动是可用的熵源吗？

Question

在一些虚拟化环境中，唯一可用的熵源是CPU定时抖动。一个人能从这个来源获得足够的熵用于实际用途吗？此外，这对本地侧通道攻击无特权本地攻击者是否安全？

“足够”在这种情况下意味着“足够种子一个CSPRNG”(256位？)。“非特权”意味着由于进程或VM隔离，攻击者不能直接读取RNG状态。

Answer 1

是。轻微的问题是实际测量多少熵是可用的。我使用Java，所以java.lang.System.nanoTime()为我做了它。在人们变得傲慢并且说nanoTime不是熵的可能来源之前，请考虑.

最佳随机数来自真正的随机数发生器，利用熵的物理来源。量子力学或混沌物理学意味着没有对源进行建模的技术。那是在物质世界里。现代计算机内部也有一个类似的复杂的数字世界。这意味着它可以作为一个麦萨兹物理熵源。

在我的实验中，我测量了nanoTime()的熵率为0.13%。这意味着，您需要采取许多措施来填充256位。在我的案子里大约有6000个样本。问题是，这是非常困难(不可能？)为了准确地测量，你必须在谨慎的方面犯巨大的错误。它很容易受到观察者的影响。但这是可以做到的，特别是播种一个CSPRNG。毕竟，这正是java.security.SecureRandom对种子本身所做的。