Les r´eseaux NTRU

Para facilitar a comparação de resultados, realizamos os testes utilizando a mesma semente na evolução do AC bidimensional de raio um Regra 1453938345, com diferentes estratégias de coleta.

Isso nos levou a identificar qual a melhor estrutura de coleta de bits que iria satisfazer os requisitos específicos de um CSPRNG, como vistos na discussão das - Seções 3.3 e 6.1.

Para ajustar os parâmetros e mantê-los equilibrados com LRNG foi preciso responder algumas questões, tais como: quantas iterações são necessárias para gerar pelo menos 80 bits, condição necessária para comparar a razão custo/benefício com o LRNG, que entrega dez bytes após cada execução? As configurações necessárias podem ser observadas na Tabela 6.1.

Tabela 6.1 Configurações para coleta de 80 bits nos ACs considerando só 50% do plano

Passamos a realizar um novo conjunto de testes, usando diferentes estratégias de coletas de bits, com o intuito de coletar metade dos bits, mas sem permitir que um observador pudesse descobrir estados futuros e passados.

Apresentaremos a seguir cinco diferentes estratégias, examinando cada uma delas com o objetivo de identificar a possibilidade de não ocorrerem modificações

na qualidade das sequências ou até mesmo melhorá-la, ao alterarmos a forma de coleta dos bits.

Temos o propósito e a preocupação de não revelar muito do estado interno do AC, pois um criptoanalista poderia encontrar estados futuros a partir do domínio e conhecimento do código e dos parâmetros utilizados para evolução do AC.

A análise das informações apresentadas pela Tabela 6.2, com dois tamanhos, o 64 (4x16) e o 128(4x32), com 13 testes aprovados, possui Média Final aceitável e relação custo/benefício competitiva para as demais configurações com 15 testes aprovados.

Acreditamos que o fato de ocorrerem somente 13 testes aprovados em duas configurações se deva à estratégia da coleta, revelando uma correlação existente entre os bits, que pode ser pelo motivo de estarem lado a lado, colocando essa estratégia de coleta em desvantagem.

Para o tamanho 64 (8x8) temos Média Final 40,34, 15 testes aprovados e relação custo/benefício 159; para o tamanho 128 (8x16), temos 15 testes aprovados, Média Final 32,43 e 263 de relação custo/benefício; acreditamos que o tamanho 64(8x8) é o melhor e mais apropriado resultado para uma comparação com o LRNG.

Tabela 6.2 Resultado da coleta de 50% dos bits no plano referente a estratégia Figura 6.1(a)

Ao observarmos os resultados apresentados na Tabela 6.3, temos a Média Final com resultados razoáveis (acima de 34) e com 15 testes aprovados, e a relação custo/benefício (nos quatro tamanhos utilizados) abaixo de 277, que é o valor encontrado no caso do LRNG.

Tabela 6.3 Resultado da coleta de 50% dos bits no plano referente a estratégia Figura 6.1(b)

Na tabela 6.4, somente um resultado se encontra dentro de padrões aceitáveis: o tamanho 64 (8x8) com 37,38 de Média Final, 15 testes aprovados e relação custo/benefício em 171. Acreditamos que, entre os motivos para os resultados ruins de três configurações, podemos destacar o pequeno número de linhas (só quatro) na primeira configuração e o relativamente alto número de operações nas configurações de 128 bits.

Tabela 6.4 Resultado da coleta de 50% dos bits no plano referente a estratégia Figura 6.1(c).

Já na Tabela 6.5 temos resultados mais satisfatórios, confirmados pelos valores da relação custo/benefício e pelo número de testes aprovados. Isso indica que a coleta de metade dos bits pode trazer bons resultados. Somente no caso do tamanho 64 (4x16) tivemos menos que 15 testes aprovados, o que não seria aceitável para aplicação prática. Além disso, a Média Final desta configuração foi a mais baixa (28,88). Possivelmente aqui também a causa foi o pequeno número de linhas (só quatro) o que diminui um pouco o espaço para evoluções mais independentes e, talvez, sofisticadas dos padrões do AC.

Tabela 6.5 Resultado da coleta de 50% dos bits no plano referente a estratégia Figura 6.1(d)

Vamos passar à análise dos resultados da Tabela 6.6. Observamos bons resultados de Média Final com uma boa relação custo/benefício; no entanto o tamanho 128 (8x16) teve apenas 14 testes aprovados, com valor de relação custo/benefício de 193. Esse resultado favorável se deve à maior Média Final apresentada, com 44,32, possivelmente vindo de uma boa distribuição dos p-values nos diversos testes, mesmo ficando com um teste reprovado. Infelizmente a falta de aprovação em um dos 15 testes descredencia esta configuração para uso prático.

Tabela 6.6 Resultado da coleta de 50% dos bits no plano referente a estratégia Figura 6.1(e/g)

Na Tabela 6.7 são expostos os resultados da coleta dos bits realizada na forma diagonal e a análise é muito semelhante à apresentada pela Tabela 6.3, com bons resultados de Média Final, com 15 testes aprovados em todos os tamanhos e com resultados de relação custo/benefício bastante competitivos. Essa estratégia de coleta parece ser a mais indicada para uso.

Sabe-se que uma das principais maneiras de encontrar um determinado estado é enumerar todas as possíveis condições iniciais, e então ver qual delas produz a sequência que se quer. Mas, como sabemos, quanto maior o tamanho do AC, maior é a quantidade de possíveis condições iniciais. Essa quantidade torna-se rapidamente astronômica e testar todas é impraticável.

Neste trabalho estamos analisando se o AC bidimensional raio um pode apresentar comportamento semelhante à Regra 30, como apresentado por Wolfram [WOLFRAM 2003 p. 605 ], ou seja, quando se considera a coleta por coluna, sendo feita a coleta de um bit sim e outro não, tem-se um forte indício de que as sequências obtidas não são deduzidas facilmente.

Desse modo, escolhemos a estratégia de coleta na forma diagonal por linha, que se refere a 50%, apresentada na Tabela 6.7, com resultados positivos com relação a aleatoriedade, quantidade de testes aprovados e eficiente relação custo/benefício, quando comparados aos do SHA-1.

Como mostrado anteriormente o LRNG-Linux SHA-1 entrega metade de seus bits (80) como bits aleatórios e retorna a outra metade a um reservatório de entropia. Portanto, o AC também precisaria retornar para o reservatório de entropia um certo número de bits, o que indica não ser adequado coletar todos os bits de saída (linha ou plano) do AC; podemos coletar metade e enviar a outra metade para o reservatório de entropia do gerador.