home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / sci / crypt / 4606 < prev    next >
Encoding:
Text File  |  1992-11-11  |  5.5 KB  |  104 lines
  1. Newsgroups: sci.crypt
  2. Path: sparky!uunet!charon.amdahl.com!pacbell.com!sgiblab!darwin.sura.net!gatech!news.ans.net!newsgate.watson.ibm.com!yktnews!admin!wo0z!lwloen
  3. From: lwloen@rchland.vnet.ibm.com (Larry Loen)
  4. Subject: Re: pseudo one time pad...
  5. Sender: news@rchland.ibm.com
  6. Message-ID: <1992Nov11.193848.10946@rchland.ibm.com>
  7. Date: Wed, 11 Nov 1992 19:38:48 GMT
  8. Reply-To: lwloen@vnet.ibm.com
  9. Disclaimer: This posting represents the poster's views, not necessarily those of IBM
  10. References:  <1992Nov11.173642.29608@ee.eng.ohio-state.edu>
  11. Nntp-Posting-Host: wo0z.rchland.ibm.com
  12. Organization: IBM Rochester
  13. Lines: 89
  14.  
  15. In article <1992Nov11.173642.29608@ee.eng.ohio-state.edu> Dane C. Butzer
  16. writes:
  17.  
  18. >In the FAQ (Thanks to Larry Loen for this... it is informative...), the
  19. >following is stated about pseudo one time pads:
  20.  
  21. >  There are a variety of cipher systems which generate "pseudo
  22. >  one time pad" streams of cipher key, but all have the same
  23. >  theoretical vulnerability; any algorithmic process introduces
  24. >  relationships between some old key bit(s) and the new key bit
  25. >  and so permits cryptanalysis.  "Random number generators" are
  26. >  frequently dreamed up by newcomers as a "pseudo one time pad",
  27. >  but they are notoriously vulnerable to analysis, all
  28.                ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
  29. >  independent of whether the pseudo-random stream satisfies
  30. >  randomness tests or not.
  31.  
  32. >My question is, why?  Now before I get roasted & told to "read the
  33. >literature..." and "your an idiot...", I have read the literature.  I've
  34. >also spent a considerable amount of time working with/analysing pseudo
  35. >random number generators (PRNGs).  It seems to me that, if your source is
  36. >sufficiently random (ie. NOT some type of feedback shift register or linear
  37. >recurrence equation, but something random in a cryptographic as well as a
  38. >statistical sense), and you follow the one time rule (ie. only use any key
  39. >ONCE - never encrypt 2 files with the same key), this should be pretty
  40. >secure.  For example, would the following be "vulnerable to analysis"?
  41.  
  42. >1) DES a file of ASCII 0's (of the same length as the plain text) with
  43. >some key - this gives you a pseudo-random bit stream.
  44.  
  45. >2) XOR this with the plain text ---> cipher text.
  46.  
  47. >This is pseudo one time pad that I don't think would be "easy" to break.
  48.  
  49. I agree, in principle, with your last statement.  But, it isn't what I had
  50. in mind when writing.  And, it does not contradict what I said.
  51.  
  52. A change to DES from a typical "random number generator" is not a trivial change
  53. and was not what I had in mind in the FAQ.  What I had in mind was the
  54. general, non-crypto person's idea of random.  Indeed, I personally avoid the
  55. word "random" in the sense you call "cryptographic randomness"; I tend to
  56. call it "unpredictable" as contrasted with "random" and mean "algorithmically
  57. unpredictable" as opposed to "algorithmically random" since we are dealing 
  58. with pseudo-randomness in virtually every case where these ideas apply anyway.
  59. As the old "Ax+C" pseudo-random number generator shows, there is a clear
  60. distinction between satisfying statistical tests for randomness and avoiding
  61. a cryptanalyst's hunger for a predictable keystream.  Unfortunately, while I
  62. do see this fine point much discussed, it is not done in a standardized way
  63. and is certainly hard to convey to the uninitiated. 
  64.  
  65. Actually, if your example is DES in Electronic Codebook mode rather than cipher
  66. feedback mode, it is simply "Vigenere cipher" of period 8 and very 
  67. vulnerable.  If you meant DES in cipher feedback mode, I can't speak
  68. offhand, but what you have is similar to other things I've seen 
  69. proposed as DES-based pseudo-one time pads.  ATMs and the like have
  70. need for something like this; I don't know exactly who has done what,
  71. but I am sure something like that is out there.  I recall, also, the 
  72. ANSI standard shows one possible way of doing something along this line.
  73.  
  74. So, such methods, if done right, are exactly as safe or as vulnerable as
  75. DES itself.  Done wrong (as I just gave an example above), it is not
  76. as good, of course.  But, you seem to understand this already.  (Perhaps you
  77. were wondering if I do :-) ? ).
  78.  
  79. The problem is, of course, random number generators designed to satisfy
  80. statistical randomness may well not satisfy at all the need for being
  81. unpredictable in a cryptographic situation; most are very poor at this, in
  82. fact, not having been designed with the problem in mind.  Most novices do
  83. not understand the distinction between "randomness" as in passing Chi Square
  84. and "unpredictable" as in frustrating analysis.  So, they grab any old
  85. random number generator out of Knuth or something and usually grab wrong.
  86.  
  87. Likewise, as what is used looks less and less like a traditional peseudo-
  88. random number generator and more like a general encryption system, your
  89. point is more and more valid.
  90.  
  91. Can I/How do I concisely clean it up with out hopelessly confusing the novice?  
  92. I thought about the DES example, but decided to leave it out on grounds of not 
  93. the right audience for the added information.  I don't want to have them read
  94. a section that intends to tell them that Ax + C "random" number generators
  95. are worthless and have them come to the opposite conclusion, even if I clean
  96. it all up, at length, elsewhere.
  97.  
  98. Is there something simple I can say that will fix this, but won't introduce 
  99. the "Ax+c is OK" problem, which is far worse, in my judgement, than leaving 
  100. it as is?
  101. -- 
  102.    Larry W. Loen        |  My Opinions are decidedly my own, so please
  103.                         |  do not attribute them to my employer
  104.