منابع انتروپی منابع rng-tools – Exchange Security Stack Security Information Security

با استفاده از ابزارهای rng-tools 6.3.1، منابع آنتروپی را لیست می کنم:

 $ rngd -l
منابع انترپنی که در دسترس هستند، اما غیرفعال هستند
4: باند بی سیم آنتروپی شبکه NIST
منابع آنتروپی موجود و فعال:
2: Intel RDRAND Instruction RNG
5: ژنراتور آنتروپی JITTER

کد منبع 4 (NIST Network Entropy Beacon) باعث می شود که "فعال" شود و نه فقط "در دسترس" باشد

رمزهای عبور – چرا Bill Burr از NIST می گوید N3v $ r M1 ^ d؟

وال استریت جورنال نوشت که بیل پشیمان است از توصیه های رمز عبور خود NIST SP 800-63 ضمیمه A.

Apprendix A عنوان "برآورد رمز عبور آنتروپی و قدرت". در مورد چگونگی ارزیابی قدرت رمز عبور – نه در مورد قوانین برای کنترل ایجاد رمز عبور

بیل بحث قوانین رمز عبور hyperhetical است و نشان می دهد که چگونه کاربر ممکن است با این قوانین مطابقت و چگونه رفتار خود را به احتمال زیاد بر قدرت رمز عبور و یا محاسبات entrophy تاثیر می گذارد.

به عنوان مثال، از بین بردن کلمات فرهنگ لغت (برای کلمات کوتاه کوتاه) و نیاز به حروف بزرگ، کوچک، رقم، و علامت ها به معنی مهاجم نیاز به بررسی ترکیب کمتری دارد.

برای بررسی در برابر یک پایگاه داده از کلمات عبور رایج است.

بیل معتقد است که قوانین فرهنگ لغت و ترکیب به طور کلی "آنتروپی عملی" کلمه عبور را بهبود می بخشد.

اما بیل هشدار می دهد که اعمال بزرگ، عددی و نماد احتمالا موجب تغییر در شروع یا پایان رمز عبور خواهد شد و از این رو تخفیفات ارزش اخباری از استفاده از این کاراکترها در یک رمز عبور

بحث در مورد فرکانس تغییر کلمات عبور محدود به ارزیابی احتمال حمله مهاجم به یک حمله در باند است

مقالات مانند این یکی از theverge بر اساس مقاله WSJ، ادعا می کند که لایحه توصیه می شود رمزهای عبور هر 90 روز تغییر کند – این نشان می دهد که این

آیا من سؤال اشتباه یا سند را بخوانم اشتباه است؟

آیا NIST هرگز بزرگ، رقمی، نمادها و تغییر 90 روزه یا منظم از کلمات عبور؟

رمزهای عبور – محاسبه آنتروپی با استفاده از md5sum، sha256sum و غیره

TL؛ DR: فرمول شما بسیار ساده است.


بنابراین مسئله این است که چرا "" دارای یک آنتروپی است اگر 0 با فرمول شما باشد، اما MD5 ("") دارای صفر نیست.

همانطور که قبلا در نظرات گفته شد، فرمول شما فقط در صورتی کار میکند که داده کاملا تصادفی باشد توزیع یکنواخت، تمام بیت های مستقل و غیره)
مثال برای مورد تصادفی: محاسبه پین ​​شما با 4 رقم بین 0 و 9.
اما اگر به عنوان مثال. مقداري که مي تواند 2222 يا 7777 باشد و هيچ چيز ديگر، آنتروپي تنها يک بيت است. هنوز 4 رقم وجود دارد، اما اکثر اعداد 4 رقمی امکان پذیر نیست، بنابراین فرمول شما دیگر کار نمی کند.

همان کاری است که برای هش شما انجام می شود – هش کردن یک رشته طول 0 دقیقا یک خروجی دارد، همیشه یکسان است. 256 ^ 16 امکاناتی که هشهای 16 بایت می توانند داشته باشند.

یک فرمول بهتر:

H (X) = sum (-p [i] * log2 p [i])

جایی که p [i] احتمال مقدار ممکن i-th (رقم و غیره، اما مقدار – PIN شما دارای 9999 مقدار ممکن است، و هر یک دارای احتمال خود).

با استفاده از این فرمول و تنها یک مقدار ممکن هش، شما 0 نیز دریافت می کنید.


به طور کلی، یک هش مثل این هرگز نمیتواند آنتروپی را افزایش دهد. این ممکن است همان یا کمتر از مقدار اصلی باشد (به خصوص اگر داده ها طولانی تر از هش باشد، یعنی هش دارای مقادیر کمتر است)