МОДЕЛЬ ПЛАНУ РЕАГУВАННЯ НА ІНЦИДЕНТИ ПОВ’ЯЗАНІ З ВИКОРИСТАННЯМ СЛАБКИХ ГЕНЕРАТОРІВ ПСЕВДОВИПАДКОВИХ ЧИСЕЛ
DOI:
https://doi.org/10.28925/2663-4023.2026.32.1195Ключові слова:
генератор псевдовипадкових чисел, Mersenne Twister, ChaCha20, Yarrow, псевдовипадковість, seed, статистичні вимоги, безпека даних, СI/CD, інциденти інформаційної безпеки.Анотація
У статті проведено аналіз генераторів псевдовипадкових чисел (ГПВЧ) у криптографії, розглянуто їхні теоретичні основи, класифікацію та основні вимоги до безпеки. Зокрема, розглянуто, як детерміновані алгоритми на основі початкового seed формують довгі послідовності бітів, практично невідрізнені від істинно випадкових, тому було проаналізовано різні типи генераторів: від простих лінійних конгруентних генераторів (LCG) і Mersenne Twister, що добре підходять для моделювання та чисельних обчислень, до криптографічно стійких алгоритмів ChaCha20 і Yarrow, які забезпечують непередбачуваність та стійкість до прогнозування вихідної послідовності. Запропоновано універсальну модель плану реагування на інциденти, пов’язані з вразливостями генераторів псевдовипадкових чисел та алгоритм автоматизації реагування на зазначені інциденти. Результати дослідження можуть бути застосовані розробниками криптографічних алгоритмів та фахівцями з інформаційної безпеки для покращення оцінки щодо вибору генераторів псевдовипадкових чисел у практичних та навчальних цілях.
Завантаження
Посилання
Menezes, A. J., van Oorschot, P. C., & Vanstone, S. A. (1996). Handbook of applied cryptography. https://theswissbay.ch/pdf/Gentoomen%20Library/Cryptography/Handbook%20of%20Applied%20Cryptography%20-%20Alfred%20J.%20Menezes.pdf
Almaraz Luengo, E., & Román Villaizán, J. (2023). Cryptographically secured pseudo-random number generators: Analysis and testing with NIST statistical test suite. Mathematics, 11(23), 4812. https://www.mdpi.com/2227-7390/11/23/4812
Stoen, H. (2024). The Mersenne Twister and cryptographically secure PRNGs. https://simonrs.com/eulercircle/crypto2024/henry-mersenne.pdf
Internet Engineering Task Force. (2018). RFC 8439: ChaCha20 and Poly1305 for IETF protocols. https://datatracker.ietf.org/doc/rfc8439/
Ferguson, N., & Schneier, B. (2000). Notes on the design and analysis of the Yarrow cryptographic PRNG. https://scispace.com/pdf/yarrow-160-notes-on-the-design-and-analysis-of-the-yarrow-47wqbflx00.pdf
National Institute of Standards and Technology. (2010). A statistical test suite for random and pseudorandom number generators for cryptographic applications (NIST Special Publication 800-22 Rev. 1a). https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-22r1a.pdf
National Institute of Standards and Technology. (2012). Computer security incident handling guide (NIST Special Publication 800-61 Rev. 2). https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf
Susukailo, V. (2021). Use of DevSecOps approach for analysis of modern information security threats. Cybersecurity: Education, Science, Technique, 2(14), 26–35.
Dorrendorf, L., Gutterman, Z., & Pinkas, B. (2007). Cryptanalysis of the random number generator of the Windows operating system. https://www.cs.huji.ac.il/~dolev/pubs/thesis/msc-thesis-leo.pdf
Bikos, A., Nastou, P. E., Petroudis, G., & Stamatiou, Y. (2023). Random number generators: Principles and applications. Cryptography, 7(4), 54. https://www.mdpi.com/2410-387X/7/4/54
National Vulnerability Database. (2019). CVE-2019-1543 detail. https://nvd.nist.gov/vuln/detail/cve-2019-1543
Viega, J. (2003). Practical random number generation in software. https://www.acsac.org/2003/papers/79.pdf
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2026 Данило Бугай, Ігор Власюк, Віталій Сусукайло, Євгеній Kurii
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
