Cómo las computadoras generan números aleatorios

Las computadoras generan números aleatorios para todo, desde criptografía hasta videojuegos y juegos de azar. Hay dos categorías de números aleatorios: números aleatorios verdaderos y números pseudoaleatorios, y la diferencia es importante para la seguridad de los sistemas de cifrado.

Las computadoras generan números aleatorios para todo, desde criptografía hasta videojuegos y juegos de azar. Hay dos categorías de números aleatorios: números aleatorios «verdaderos» y números pseudoaleatorios, y la diferencia es importante para la seguridad de los sistemas de cifrado.

Las computadoras pueden generar números verdaderamente aleatorios observando algunos datos externos, como los movimientos del mouse o el ruido del ventilador, que no es predecible, y creando datos a partir de ellos. Esto se conoce como entropía. Otras veces, generan números «pseudoaleatorios» mediante el uso de un algoritmo para que los resultados parezcan aleatorios, aunque no lo sean.

Este tema se ha vuelto más controvertido recientemente, y muchas personas se preguntan si el chip generador de números aleatorios de hardware incorporado de Intel es confiable. Para entender por qué podría no ser confiable, primero deberá comprender cómo se generan los números aleatorios y para qué se utilizan.

Para qué se usan los números aleatorios

Los números aleatorios se han utilizado durante muchos miles de años. Ya sea que esté lanzando una moneda o tirando un dado, el objetivo es dejar el resultado final al azar. Los generadores de números aleatorios en una computadora son similares: son un intento de lograr un resultado aleatorio impredecible.

Los generadores de números aleatorios son útiles para muchos propósitos diferentes. Además de las aplicaciones obvias, como generar números aleatorios con el fin de apostar o crear resultados impredecibles en un juego de computadora, la aleatoriedad es importante para la criptografía.

La criptografía requiere números que los atacantes no pueden adivinar. No podemos usar los mismos números una y otra vez. Queremos generar estos números de una manera muy impredecible para que los atacantes no puedan adivinarlos. Estos números aleatorios son esenciales para el cifrado seguro, ya sea que esté cifrando sus propios archivos o simplemente usando un sitio web HTTPS en Internet.

Números aleatorios verdaderos

Tal vez se pregunte cómo una computadora puede generar un número aleatorio. ¿De dónde viene esta «aleatoriedad»? Si es solo un fragmento de código de computadora, ¿no es posible que los números que genera la computadora sean predecibles?

Generalmente agrupamos los números aleatorios que las computadoras generan en dos tipos, dependiendo de cómo se generan: números aleatorios «verdaderos» y números pseudoaleatorios.

Para generar un número aleatorio «verdadero», la computadora mide algún tipo de fenómeno físico que tiene lugar fuera de la computadora. Por ejemplo, la computadora podría medir la desintegración radiactiva de un átomo. Según la teoría cuántica, no hay forma de saber con certeza cuándo ocurrirá la desintegración radiactiva, por lo que esto es esencialmente «aleatoriedad pura» del universo. Un atacante no podría predecir cuándo ocurriría la desintegración radiactiva, por lo que no sabrían el valor aleatorio.

Para un ejemplo más cotidiano, la computadora podría confiar en el ruido atmosférico o simplemente usar la hora exacta en que presiona las teclas del teclado como fuente de datos impredecibles o entropía. Por ejemplo, su computadora puede notar que presionó una tecla exactamente a 0.23423523 segundos después de las 2 pm. Tome suficientes horas específicas asociadas con estas pulsaciones de teclas y tendrá una fuente de entropía que puede usar para generar un azar «verdadero» número. No eres una máquina predecible, por lo que un atacante no puede adivinar el momento preciso cuando presionas estas teclas. El dispositivo/dev/random en Linux, que genera números aleatorios, «bloquea» y no devuelve un resultado hasta que reúne suficiente entropía para devolver un número verdaderamente aleatorio.

Números seudoaleatorios

Los números pseudoaleatorios son una alternativa a los números aleatorios «verdaderos». Una computadora podría usar un valor semilla y un algoritmo para generar números que parecen ser aleatorios, pero que de hecho son predecibles. La computadora no recopila datos aleatorios del entorno.

Esto no es necesariamente algo malo en todas las situaciones. Por ejemplo, si estás jugando un videojuego, realmente no importa si los eventos que ocurren en ese juego están encerrados por números aleatorios «verdaderos» o números pseudoaleatorios. Por otro lado, si usa encriptación, no querrá usar números pseudoaleatorios que un atacante pueda adivinar.

Por ejemplo, supongamos que un atacante conoce el algoritmo y el valor inicial que utiliza un generador de números pseudoaleatorios. Y supongamos que un algoritmo de cifrado obtiene un número pseudoaleatorio de este algoritmo y lo utiliza para generar una clave de cifrado sin agregar ninguna aleatoriedad adicional. Si un atacante sabe lo suficiente, podría trabajar hacia atrás y determinar el número pseudoaleatorio que el algoritmo de cifrado debe haber elegido en ese caso, rompiendo el cifrado.

La NSA y el generador de números aleatorios de hardware de Intel

Para facilitar las cosas a los desarrolladores y ayudar a generar números aleatorios seguros, los chips Intel incluyen un generador de números aleatorios basado en hardware conocido como RdRand. Este chip utiliza una fuente de entropía en el procesador y proporciona números aleatorios al software cuando el software lo solicita.

El problema aquí es que el generador de números aleatorios es esencialmente un cuadro negro y no sabemos qué está pasando dentro de él. Si RdRand contuviera una puerta trasera de la NSA, el gobierno podría romper las claves de cifrado que se generaron con solo datos suministrados por ese generador de números aleatorios.

Esta es una preocupación seria. En diciembre de 2013, los desarrolladores de FreeBSD eliminaron el soporte para usar RdRand directamente como una fuente de aleatoriedad, diciendo que no podían confiar en él. [Fuente] La salida del dispositivo RdRand se introduciría en otro algoritmo que agrega entropía adicional, asegurando que las puertas traseras en el generador de números aleatorios no importen. Linux ya funcionaba de esta manera, aleatorizando aún más los datos aleatorios provenientes de RdRand para que no fuera predecible incluso si hubiera una puerta trasera. [Fuente] En un reciente AMA (“Pregúntame cualquier cosa”) en Reddit, el CEO de Intel, Brian Krzanich, no respondió preguntas sobre estas preocupaciones. [Fuente]

Por supuesto, esto probablemente no sea solo un problema con los chips Intel. Los desarrolladores de FreeBSD también mencionaron los chips de Via por su nombre. Esta controversia muestra por qué es tan importante generar números aleatorios que sean verdaderamente aleatorios y no predecibles.

Para generar números aleatorios «verdaderos», los generadores de números aleatorios recopilan «entropía» o datos aparentemente aleatorios del mundo físico que los rodea. Para los números aleatorios que no realmente necesitan ser aleatorios, pueden usar un algoritmo y un valor inicial.

Crédito de la imagen: rekre89 en Flickr, Lisa Brewster en Flickr, Ryan Somma en Flickr, huangjiahui en Flickr

Rate article
labsfabs.com
Add a comment