Die Gefahren von Pseudozufälligkeit: Warum Sie echte Zufallszahlen für die Sicherheit benötigen
RFC 4086 beschreibt detailliert die kritische Notwendigkeit echter Zufälligkeit in Sicherheitssystemen. Die Abhängigkeit von Pseudozufallszahlen lässt Schwachstellen offen, die von erfahrenen Angreifern ausgenutzt werden können, indem sie die Umgebung nachbilden, um diese Zahlen leicht zu knacken. Das Dokument hebt die Fallstricke der Verwendung von Quellen mit niedriger Entropie oder traditioneller Pseudozufallszahlengenerierungstechniken hervor und befürwortet echte Hardware-Zufallsmethoden wie die Nutzung von Soundkarten, Festplattenlaufwerken oder Ringoszillatoren. Es werden auch Minderungsstrategien bereitgestellt, wenn Hardware-Lösungen nicht verfügbar sind, und die erforderliche Größe von Zufallszahlen für verschiedene Anwendungen veranschaulicht.