При каких условиях стандартная библиотека #Golang в math/rand/v2 предоставляет CS(P)RNG или «True RNG Source», соответст

При каких условиях стандартная библиотека #Golang в math/rand/v2 предоставляет CS(P)RNG или «True RNG Source», соответст ⇐ Linux

1 сообщение • Страница 1 из 1

Anonymous

При каких условиях стандартная библиотека #Golang в math/rand/v2 предоставляет CS(P)RNG или «True RNG Source», соответст

Цитата

Сообщение Anonymous » 12 дек 2024, 05:41

Не обращая внимания на скандал с Dual_EC_DRBG, предположим, что мы хотим соответствовать NIST SP 800-90; вот некоторая информация о стандартах:

Генерация случайных чисел: https://en.wikipedia.org/wiki/NIST_SP_800-90A
Источники энтропии: https://en.wikipedia.org/wiki/NIST_SP_800-90B

Основные источники:

Ссылка на Golang: https://pkg.go.dev/math/rand/v2#Source
CMVP: https://csrc .nist.gov/projects/cryptographic-module-validation-program
https://nvlpubs.nist.gov/nistpubs/FIPS/ ... .140-3.pdf

Что такое достаточный тест для уверенного ответа «да» на вопрос о том, что системная энтропия имеет необходимое качество, чтобы мой проект мог создавать несколько криптографических ключей P-256 в час в ОС Linux на базе Alpine или Debian? Что мы можем сделать, чтобы гарантировать, что некоторый верхний предел бит/сек является подходящим проектным ограничением?
В долгосрочной перспективе, если я заключу контракт с лабораторией CMVP, мне не нужен мой FIPS 140- 3 статус сертификации задержан из-за досрочного решения, которое слишком сложно обосновать. Насколько я понимаю, Go v1.24 будет нацелен на свою стандартную криптографическую библиотеку, чтобы стать одной из первых реализаций, не связанных с JVM, которая полностью совместима с FedRAMP High.
Включено предыстория: https://github.com/golang/go/issues/69536
И: https://cloud.google.com/compute/docs/i ... virtio-rng
При использовании Virtio RNG эта команда проходит проверку:

Код: Выделить всё

$ cat /dev/random | rngtest -c 1000
...
rngtest: starting FIPS tests...
...
rngtest: FIPS 140-2 successes: 1000
rngtest: FIPS 140-2 failures: 0

Является ли это 1. одновременно необходимым и достаточным, 2. только необходимым или 3. чем-то совершенно не связанным с этим - с точки зрения технической ценности для доказательства, достаточно убедительного для федерального правительства США ?

Подробнее здесь: https://stackoverflow.com/questions/792 ... -provide-a

1733971300

Anonymous

Не обращая внимания на скандал с Dual_EC_DRBG, предположим, что мы хотим соответствовать NIST SP 800-90; вот некоторая информация о стандартах:
[list]
[*]Генерация случайных чисел: https://en.wikipedia.org/wiki/NIST_SP_800-90A[*]Источники энтропии: https://en.wikipedia.org/wiki/NIST_SP_800-90B
[/list]
Основные источники:
[list]
[*]Ссылка на Golang: https://pkg.go.dev/math/rand/v2#Source
[*]CMVP: https://csrc .nist.gov/projects/cryptographic-module-validation-program
[*]https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.140-3.pdf
[/list]
Что такое достаточный тест для уверенного ответа «да» на вопрос о том, что системная энтропия имеет необходимое качество, чтобы мой проект мог создавать несколько криптографических ключей P-256 в час в ОС Linux на базе Alpine или Debian? Что мы можем сделать, чтобы гарантировать, что некоторый верхний предел бит/сек является подходящим проектным ограничением?
В долгосрочной перспективе, если я заключу контракт с лабораторией CMVP, мне не нужен мой FIPS 140- 3 статус сертификации задержан из-за досрочного решения, которое слишком сложно обосновать. Насколько я понимаю, Go v1.24 будет нацелен на свою стандартную криптографическую библиотеку, чтобы стать одной из первых реализаций, не связанных с JVM, которая полностью совместима с FedRAMP High.
Включено предыстория: https://github.com/golang/go/issues/69536
И: https://cloud.google.com/compute/docs/instances/enabling-virtio-rng
При использовании Virtio RNG эта команда проходит проверку:
[code]$ cat /dev/random | rngtest -c 1000
...
rngtest: starting FIPS tests...
...
rngtest: FIPS 140-2 successes: 1000
rngtest: FIPS 140-2 failures: 0
[/code]
Является ли это 1. одновременно необходимым и достаточным, 2. только необходимым или 3. чем-то совершенно не связанным с этим - с точки зрения технической ценности для доказательства, достаточно убедительного для федерального правительства США ? 

Подробнее здесь: [url]https://stackoverflow.com/questions/79273679/under-what-conditions-does-golangs-standard-library-in-math-rand-v2-provide-a[/url]

Ответить Пред. тема След. тема

1 сообщение • Страница 1 из 1

Быстрый ответ

Заголовок:

Имя пользователя:

Изменение регистра текста:

Смайлики

Ещё смайлики…

К этому ответу прикреплено по крайней мере одно вложение.

Если вы не хотите добавлять вложения, оставьте поля пустыми. Можно прикреплять файлы, перетаскивая их в окно сообщения.

Максимально разрешённый размер вложения: 15 МБ.

Имя файла:

Комментарий к файлу:

Имя файла	Комментарий к файлу	Размер	Статус

Похожие темы

Ответы

Просмотры

Последнее сообщение

Rand() % 256 против rand() и 0xFF, чья производительность лучше?

Последнее сообщение Anonymous « 13 янв 2025, 13:57
Добавлено в форуме Python

Anonymous » 13 янв 2025, 13:57 » в форуме Python

Мне было интересно, для сценария, где rand() достаточно, т. е. нет необходимости использовать mt19937 и т. д., следует ли предпочесть rand() % range или rand() & range?
Пытаясь разобраться в этом, я провел простой тест и обнаружил, что схема AND...

0 Ответы

18 Просмотры

Последнее сообщение Anonymous
13 янв 2025, 13:57
Сгенерированная ошибка сервлета: методы по умолчанию не поддерживаются в -source 1.5 (используйте -source 8 или выше, чт

Последнее сообщение Anonymous « 05 ноя 2024, 22:06
Добавлено в форуме JAVA

Anonymous » 05 ноя 2024, 22:06 » в форуме JAVA

Я использую Netbeans версии 8.2 для практики своего проекта Spring MVC. Версия IDK по умолчанию, предоставляемая netbeans, — 1.8. Я использую этот проект для изучения проверки формы. Я использую все библиотеки, необходимые для этого проекта, включая...

0 Ответы

42 Просмотры

Последнее сообщение Anonymous
05 ноя 2024, 22:06
Преобразование кода Ruby-Source в код Java-Source

Последнее сообщение Anonymous « 09 апр 2025, 06:16
Добавлено в форуме JAVA

Anonymous » 09 апр 2025, 06:16 » в форуме JAVA

Мне нужно перевести код рубинового источника в код Java-Source.
На этапе поиска я нашел этот веб -сайт:

Проблема:
Этот веб -сайт предоставляет только этот способ перевода Java> Ruby, но мне нужна эта рубина> java

.

Подробнее здесь:

0 Ответы

12 Просмотры

Последнее сообщение Anonymous
09 апр 2025, 06:16
Как установить модуль Pip/Math из настройки Python2.7 Source

Последнее сообщение Anonymous « 17 июн 2025, 00:32
Добавлено в форуме Python

Anonymous » 17 июн 2025, 00:32 » в форуме Python

ubuntu 25 (отвлекающий)
Как мне включить математику и другие модули при компиляции из источника? Используйте Deadsnakes: PPA, потому что не было выпуска для Ubuntu 25/Plucky. Я бы предпочел это на самом деле…
Обратите внимание, что при запуске: 1...

0 Ответы

2 Просмотры

Последнее сообщение Anonymous
17 июн 2025, 00:32
Временная сложность Math.min и Math.max

Последнее сообщение Anonymous « 09 май 2024, 02:38
Добавлено в форуме JAVA

Anonymous » 09 май 2024, 02:38 » в форуме JAVA

Я хотел бы знать, имеют ли Math.min и Math.max в Java одинаковую временную сложность, поскольку моя задача была отклонена, поскольку ее выполнение заняло слишком много времени.
Я работал над проблемой, которая требовала добавления общие элементы в 3...

0 Ответы

63 Просмотры

Последнее сообщение Anonymous
09 май 2024, 02:38

Вернуться в «Linux»