ハードウェア乱数ジェネレータ

コンピューティングにおいて、ハードウェア乱数発生器( HRNG )、真性乱数発生器( TRNG )、非決定性乱数ビット発生器( NRBG ) ^{[ 1 ]}または物理乱数発生器^{[ 2 ] [ 3 ]}は、エントロピーを生成できる物理的なプロセスから乱数を生成するデバイスであり、決定論的アルゴリズムを利用する疑似乱数発生器( PRNG ) ^{[ 2 ]}や、エントロピー生成専用のハードウェアを含まない非物理的な非決定性乱数ビット発生器とは異なります。 ^{[ 1 ]}

多くの自然現象は、熱雑音やショット雑音、電子回路のジッタや準安定性、ブラウン運動、大気雑音など、低レベルの統計的にランダムな「ノイズ」信号を生成します。^{[ 4 ]}研究者たちは、ビームスプリッターを用いた光電効果、その他の量子現象、^{[ 5 ] [ 6 ] [ 7] [8 ] [ 9 ] 、さらには}原子核崩壊（実用上の考慮から、後者は大気雑音と同様に、かなり制限された用途やオンライン配信サービス以外では実現不可能）も利用しました。^{[ 4 ]}「古典的な」（非量子的な）現象は真にランダムではありませんが、予測不可能な物理システムは通常、ランダム性の源として受け入れられるため、「真の」と「物理的な」という修飾語は同じ意味で使用されます。^{[ 10 ]}

ハードウェア乱数生成器は、ほぼ完全な乱数（「完全エントロピー」）を出力することが期待されています。^{[ 1 ]}物理的なプロセスは通常この特性を持たず、実用的なTRNGは通常、いくつかのブロックで構成されています。^{[ 11 ]}

• エントロピーを生成する物理プロセスを実行するノイズ源。通常、このプロセスはアナログであるため、アナログ源の出力を2進表現に変換するにはデジタイザが使用されます。
• ランダム ビットの品質を改善するコンディショナー(ランダム性抽出器) 。
• ヘルステスト。TRNG は主に、乱数のエントロピーが低い場合に完全に破られる暗号化アルゴリズムで使用されるため、テスト機能が組み込まれているのが一般的です。

ハードウェア乱数生成器は、一般的に1秒あたりに生成される乱数ビット数が限られています。利用可能な出力データレートを向上させるため、より高速なPRNG（擬似乱数生成器）の「シード」を生成するためによく使用されます。PRNGは、ノイズ源の「匿名化」（ノイズ源の識別特性を白色化すること）とエントロピー抽出にも役立ちます。適切なPRNGアルゴリズム（暗号学的に安全な擬似乱数生成器、CSPRNG）を選択すれば、その組み合わせは連邦情報処理標準（FIS）およびコモンクライテリア標準の要件を満たすことができます。^{[ 12 ]}

ハードウェア乱数生成器は、乱数性を必要とするあらゆるアプリケーションで使用できます。しかし、多くの科学アプリケーションでは、TRNGの追加コストと複雑さ（疑似乱数生成器と比較した場合）は、意味のあるメリットをもたらしません。TRNGには、データサイエンスや統計アプリケーションにおいてさらなる欠点があります。例えば、数値列を保存しない限り再実行できないこと、アナログの物理的実体に依存しているため、発生源の障害が分かりにくくなることがあります。そのため、TRNGは主に、その予測不可能性や数値列の再実行不可能性が実装の成功に不可欠となるアプリケーション、例えば暗号技術やギャンブルマシンで使用されます。^{[ 13 ]}

ハードウェア乱数生成器の主な用途はデータ暗号化の分野であり、例えばデータの暗号化と署名に必要なランダムな暗号鍵とノンスを生成するために使用されます。ランダム性に加えて、暗号アプリケーションによって少なくとも2つの追加要件が課せられます。^{[ 14 ]}

1. 前方秘匿性により、攻撃者がデバイスの過去の出力や内部状態に関する情報から将来のデータを予測することができなくなります。
2. 後方機密性は「反対方向」を保護します。つまり、将来の出力と内部状態に関する知識によって、前のデータが漏洩することはありません。

これらの要件を満たす典型的な方法は、TRNGを使用して暗号的に安全な疑似乱数生成器をシードすることです。^{[ 15 ]}

物理的な装置は、数千年にわたり、主に賭博のために乱数を生成するために使用されてきた。特にサイコロは5000年以上前から知られており（現在のイラクとイランで発見されている）、コインを投げてランダムなビットを生成する方法は、少なくとも古代ローマ時代にまで遡る。^{[ 16 ]}

物理的乱数発生器が科学的目的に初めて使用されたのは、フランシス・ゴルトン（1890年）によるものです。^{[ 17 ]}彼は、一般的なギャンブル用のサイコロを用いて確率分布をサンプリングする方法を考案しました。ゴルトンは、一番上の数字に加えて、最も近いサイコロの面も参照することで、6×4 = 24通りの結果（約4.6ビットのランダム性）を作り出しました。^{[ 16 ]}

ケンドールとバビントン＝スミス（1938）^{[ 18 ]}は、周期的な光バーストで照射される高速回転10セクターディスクを用いた。サンプリングは人間が光線の下の数字をパッドに書き込むことで行われた。この装置は10万桁の乱数表を生成するために利用された（当時、このような表は今日のPRNGのような統計実験に使用されていた）。^{[ 16 ]}

1947年4月29日、ランド社は「電子ルーレットホイール」を用いて乱数生成を開始した。これは、毎秒約10万パルスの乱数周波数パルス源と、毎秒1回の一定周波数パルスのゲート制御によって5ビットのバイナリカウンタに入力される構成であった。ダグラス・エアクラフト社は、セシル・ヘイスティングの提案（RAND P-113）^{[ 19 ]}をノイズ源（おそらく磁場中に置かれた6D4小型ガスサイラトロン管のよく知られた動作^{[ 20 ]}）として実装し、この装置を製造した。32通りのカウンタ値のうち20通りが10進数にマッピングされ、残りの12通りのカウンタ値は破棄された。^{[ 21 ]} RANDマシンによる長時間実行の結果は、フィルタリングとテストを経て表に変換されました。当初はパンチカードの束としてのみ存在していましたが、後に1955年に50行50桁の数字が各ページに記された書籍として出版されました^{[ 16 ]} ( A Million Random Digits with 100,000 Normal Deviates )。RAND表は乱数生成における画期的な進歩でした。なぜなら、これほど大規模で綿密に作成された表はそれまで存在しなかったからです。この表は、シミュレーションやモデリング、暗号アルゴリズムにおける任意の定数を導出して、その定数が悪意を持って選択されたものではないことを証明するための有用な情報源となっています（「何も隠していない数字」）。^{[ 22 ]}

1950年代初頭からTRNGの研究は活発に行われており、2017年までに数千の研究論文が発表され、約2000件の特許が付与されています。^{[ 16 ]}

多様なノイズ源とデジタル化技術（「ハーベスティング」）を用いた、複数の異なるTRNG設計が、長年にわたり提案されてきました。しかし、実用的な考慮事項（サイズ、消費電力、コスト、性能、堅牢性）により、以下の特性が求められます。^{[ 23 ]}

• 一般的に入手可能な安価なシリコンプロセスの使用。
• デジタル設計技術を独占的に使用することで、システムオンチップの統合が容易になり、 FPGAの使用が可能になります。
• コンパクトで低消費電力の設計。これにより、アナログ部品（アンプなど）の使用が抑制されます。
• エントロピー収集メカニズムの数学的正当化。

2014年にStipčevićとKoçはTRNGの実装に使用される物理現象を4つのグループに分類しました。^{[ 3 ]}

• 電気ノイズ;
• 自由走行発振器;
• カオス;
• 量子効果。

ノイズベースのRNGは、一般的に同じ仕組みを辿ります。ノイズ発生器のノイズ源はコンパレータに入力されます。電圧が閾値を超えるとコンパレータの出力は1、そうでない場合は0になります。ランダムビット値はフリップフロップを用いてラッチされます。ノイズ源は様々であり、例えば以下のようなものがあります。^{[ 24 ]}

• ジョンソン・ナイキスト雑音（「熱雑音」）
• ツェナーノイズ;
• 雪崩による崩壊。

RNG設計にノイズ源を使用することの欠点は以下の通りである。^{[ 25 ]}

• ノイズレベルは制御が難しく、環境の変化やデバイスごとに変化します。
• 保証されたエントロピー量を確保するために必要な較正プロセスには時間がかかります。
• ノイズレベルは通常低いため、設計には電力消費の大きいアンプが必要になります。アンプの入力感度が高いため、攻撃者による操作が可能になります。
• 近くにある回路は多くの非ランダムノイズを生成するため、エントロピーが低下します。
• 複数の相互作用する物理プロセスが関与しているため、ランダム性の証明はほぼ不可能である。^{[ 26 ]}

カオスベースノイズという概念は、時間経過に伴う挙動を観察するだけでは特性評価が難しい複雑なシステムを用いることに由来する。例えば、レーザーは（他の用途では望ましくない）カオス的に変動する出力を持つカオスモードに制御され、その出力はフォトダイオードを用いて検出され、コンパレータによってサンプリングされる。すべてのフォトニクス要素をオンチップに統合できるため、設計は非常に小型化できる。スティプチェヴィッチとコチはこの手法を「最も好ましくない」と特徴づけている。これは主に、カオス的な挙動は通常微分方程式によって制御され、新たなランダム性は導入されないため、カオスベースTRNGが生成する可能性のある出力文字列のサブセットが限定される可能性があるという点に起因する。^{[ 27 ]}

フリーランニングオシレータ（FRO）に基づくTRNGは、通常、1つまたは複数のリングオシレータ（RO）を利用し、その出力は別のクロックを用いてサンプリングされます。ROを構成するインバータは非常に大きなゲインを持つ増幅器と考えることができるため、FROの出力は位相領域と周波数領域において非常に高速な振動を示します。FROベースのTRNGは、ランダム性証明やチップ間のばらつきといった問題があるにもかかわらず、標準的なデジタルロジックを使用しているため、非常に人気があります。^{[ 27 ]}

量子乱数生成技術は確立されており、2017年までに8つの商用量子乱数生成器（QRNG）製品が提供されました。^{[ 28 ]}

Herrero-Collantes と Garcia-Escartin は、次の確率過程を「量子」として挙げています。

• 核崩壊は、ガイガーカウンターと較正された放射線源の利用可能性により、1960年代以降に普及した、歴史的に最も初期の量子手法であった。エントロピーハーベスティングは、定期的にサンプリングされるイベントカウンター、またはイベント発生時にサンプリングされるタイムカウンターを用いて行われた。同様の設計は、1950年代にアナログコンピュータでランダムノイズを生成するために利用された。主な欠点は、放射線安全性への懸念、低いビットレート、そして不均一な分布であった。^{[ 29 ]}
• 電子回路に見られる量子力学的雑音源であるショット雑音は、技術的には量子効果であるが、熱雑音から分離することが困難であるため、いくつかの例外を除いて、それを利用する雑音源は部分的に量子的であり、通常は「古典的」に分類される。^{[ 30 ]}
• 量子光学：
  • ビームスプリッターを用いた分岐経路発生器。単一光子源からの光子がランダムに２つの経路のうちの１つを取り、２つの単一光子検出器のうちの１つで感知され、ランダムビットが生成される。^{[ 31 ]}
  • 到着時間型発生器と光子計数型発生器は弱い光子源を使用し、放射性崩壊の場合と同様にエントロピーを収穫する。^{[ 32 ]}
  • 減衰パルス発生器は、上記の方法を一般化（装置を簡素化）したもので、システム内に一度に複数の光子を許容する。^{[ 33 ]}
  • 真空揺らぎ発生器はレーザーホモダイン検出を用いて真空状態の変化を調べる。 ^{[ 34 ]}
  • レーザー位相雑音発生器は、単一空間モードレーザーの出力の位相雑音を利用し、これを不平衡マッハ・ツェンダー干渉計を用いて振幅に変換する。この雑音は光検出器によってサンプリングされる。^{[ 35 ]}
  • 増幅自然放出光発生器は、光増幅器内に存在する自然放出光をノイズ源として利用する。^{[ 36 ]}
  • ラマン散乱発生器は光子と固体物質との相互作用からエントロピーを抽出する。 ^{[ 37 ]}
  • 光パラメトリック発振器発生器は、縮退した光パラメトリック発振器における二値位相状態選択につながる自発的なパラメトリックダウンコンバージョンを使用する^{。 [ 38 ]}

量子乱数発生器のコストを削減し、堅牢性を高めるために、^{[ 39 ]}オンラインサービスが実装されています。^{[ 28 ]}

量子乱数生成器の複数の設計^{[ 40 ]}は本質的に検証不可能であり、したがって敵対者によって操作される可能性がある。マンナラスらは、これらの設計が完全に制御され、信頼できる環境でのみ動作できるという意味で「信頼できる」と呼んでいる^{[ 41 ]。}

TRNGの故障は非常に複雑で微妙な場合があり、結果（出力ビットストリーム）だけでなく、エントロピー源の予測不可能性についても検証する必要があります。^{[ 10 ]}ハードウェア乱数生成器は、自然原因や意図的な攻撃によるエントロピー源の劣化を防ぐために、常に適切に動作しているか監視する必要があります。FIPS Pub 140-2およびNIST Special Publication 800-90B ^{[ 42 ]}では 、これに使用できるテストが定義されています。

認証機関が義務付けているリアルタイムテストの最小セットはそれほど大きくなく、例えばNISTのSP 800-90Bでは2つの連続ヘルステストのみを要求している。^{[ 43 ]}

1. 繰り返しカウント テストは、同一の数字のシーケンスが長すぎないことを確認します。一度に 1 ビットをデジタル化する TRNG の (一般的な) ケースでは、これは 0 または 1 の長い文字列がないことを意味します。
2. 適応型比例検定は、データストリーム内でランダムな数字が過度に頻繁に出現しないこと（低バイアス）を検証します。ビット指向のエントロピー源の場合、これはビットストリーム内の1と0の数がほぼ同じであることを意味します。

暗号システムの他のコンポーネントと同様に、暗号乱数生成器は特定の攻撃に耐えられるように設計する必要があります。ハードウェアエントロピーソースがなければ、これらの攻撃に対する防御は困難です。

HRNGにおける物理プロセスは新たな攻撃対象領域を生み出す。例えば、自由走行発振器ベースのTRNGは、周波数注入を用いて攻撃される可能性がある。^{[ 44 ]}

記号列のエントロピーを推定する数学的手法はいくつか存在します。しかし、その推定値を完全に信頼できるほど信頼できるものはありません。常に、検証が非常に困難な仮定が存在します。これらの手法は、例えばシードプールに十分なエントロピーがあるかどうかを判断するのに役立ちますが、一般に、真の乱数源と疑似乱数生成器を区別することはできません。この問題は、ハードウェアエントロピー源を慎重に使用することで回避できます。

• AN/CYZ-9
• ベルテスト実験
• /dev/ランダム
• アーニー
• Lavarand（溶岩ランプ内の浮遊物質の動きに基づいたハードウェア乱数ジェネレータ）
• 乱数ジェネレータのリスト
• 宝くじ機
• RDRAND
• トラステッド プラットフォーム モジュール

• Turan, Meltem Sönmez; Barker, Elaine; Kelsey, John; McKay, Kerry A; Baish, Mary L; Boyle, Mike (2018). NIST SP800-90B: 乱数ビット生成に用いるエントロピー源に関する勧告（報告書）. メリーランド州ゲイサーズバーグ: 米国国立標準技術研究所. doi : 10.6028/nist.sp.800-90b .
• Templ, M. (2016). Rによるデータサイエンスのためのシミュレーション. Packt Publishing. ISBN 978-1-78588-587-7. 2023年8月7日閲覧。
• Saarinen, Markku-Juhani O.; Newell, G. Richard; Marshall, Ben (2020-11-09).最新のTRNGの構築：RISC-V用エントロピーソースインターフェース(PDF) . ニューヨーク、ニューヨーク州、米国：ACM. doi : 10.1145/3411504.3421212 . 2021年3月16日時点のオリジナルよりアーカイブ。 2023年9月9日閲覧。{{cite conference}}: CS1 maint: bot: 元のURLステータス不明（リンク）
• Schindler, Werner (2009). 「暗号アプリケーションのための乱数生成器」.暗号工学. ボストン, マサチューセッツ州: Springer US. pp.  5– 23. doi : 10.1007/978-0-387-71817-0_2 . ISBN 978-0-387-71816-3。
• Sunar, Berk (2009). 「暗号のための真乱数生成器」.暗号工学. ボストン, マサチューセッツ州: Springer US. pp.  55– 73. doi : 10.1007/978-0-387-71817-0_4 . ISBN 978-0-387-71816-3。
• L'Ecuyer, Pierre (2017).一様乱数生成の歴史(PDF) . 2017 Winter Simulation Conference (WSC). ラスベガス, ネバダ州, 米国: IEEE. doi : 10.1109/wsc.2017.8247790 . ISBN 978-1-5386-3428-8. ISSN  1558-4305 .
• Stipčević, Mario; Koç, Çetin Kaya (2014). 「真乱数生成器」.数学と計算科学における未解決問題(PDF) . 出版社: Springer International Publishing. pp.  275– 315. doi : 10.1007/978-3-319-10683-0_12 . ISBN 978-3-319-10682-3。
• Herrero-Collantes, Miguel; Garcia-Escartin, Juan Carlos (2017-02-22). 「量子乱数発生器」. Reviews of Modern Physics . 89 (1) 015004. American Physical Society (APS). arXiv : 1604.03304 . Bibcode : 2017RvMP...89a5004H . doi : 10.1103/revmodphys.89.015004 . ISSN  0034-6861 .
• 量子乱数生成：理論と実践. 量子科学技術. Springer Cham . 2020. doi : 10.1007/978-3-319-72596-3 . ISBN 978-3-319-72596-3。
• Mannalath, Vaisakh; Mishra, Sandeep; Pathak, Anirban (2023). 「量子乱数生成器の包括的レビュー：概念、分類、そして乱数の起源」 .量子情報処理. 22 (12): 439. arXiv : 2203.00261 . Bibcode : 2023QuIP...22..439M . doi : 10.1007/s11128-023-04175-y .

• Intel 乱数ジェネレータ(PDF)、 Intel、1999年4月22日。
• ProtegoST SG100、ProtegoST、「ハードウェア乱数ジェネレーター」、ツェナーダイオードからの量子物理学の乱数ソースに基づく。