ICS 35.040 CCS L 80 6 中华人民共和国密石马才于业相乏准 GM/T 0078-2020 密码随机数生成模块设计指南 The design guidelines for cryptographic random number generation module 2020-12-28 发布 202 1-07-0 1 实施 噬鲜 国家密码管理局 发布 网豁联f315i4OO6982315 舌｝l涂层查真伪 . . . . . . 0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0 . 0 0 . . . . . . . . . . . . . . . . . . . . . . . . . . GM/T 0078-2020 目 次 别而 1 范围 2 规范性引用文件 ………… 3 术语和定义 …………… . . . ・ ． . . . . ． ・ ． . . . . . ． ・ ． . 5 随机数生成模块一般模型 ……… 6 物理随机源电路的设计原理 …… 6.1 混沌动力系统原理 6.2 相位抖动原理 6.3 热噪声直接放大原理 6.4 多路物理随机源合成 7 物理随机源的失效检测 . . . . . . . . . . . . . . . . . . . . . . . ． ・ ． . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ． ・ ． . . . ． ・ ・ ． . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ． ・ ． . . . . . . 9.1 后处理算法设计要求 9.2 密码函数方法 9.3 轻量级后处理方法 附录A（资料性） 物理随机源电路示例 . . . . . . . . . . . ． ・ ． . . ． ・ ・ ． . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ． ・ . . . . . . . . . 0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 物理随机源的随机性检测 …… 9 后处理算法的设计方法 …… GM/T 0078-2020 .JJ- 月u 古目 本文件按照 GB/T 1.1-2020 《标准化工作导则 第 1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由密码行业标准化技术委员会提出并归口。 本文件起草单位：北京宏思电子技术有限责任公司、国家密码管理局商用密码检测中心、中国科学 院软件研究所、中国科学院信息工程研究所、国民技术股份有限公司、北京中电华大电子设计有限责任 公司、北京智芯微电子科技有限公司。 本文件主要起草人：张文蜻、罗鹏、郁群慧、范丽敏、马原、杨贤伟、李丹、甘杰、夏鲁宁。 工 GM/T 0078-2020 密码随机数生成模块设计指南 1 范围 本文件规定了密码硬件随机数生成模块的设计要求。 本文件适用于随机数生成模块的研制、开发和检测的指导。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GM/T 0005 随机性检测规范 GM/T 0008 安全芯片密码检测准则 3 术语和定义 GM/T 0005 和GM/T 0008 界定的以及下列术语和定义适用于本文件。 3.1 随机数生成模块 random number generation module 利用真实世界的自然随机性，从随机的物理过程中提取出随机量，并经过变换处理，输出随机数的 电路。 3.2 热噪声 thermal noise 亦称白噪声，是由导体中电子的热震动引起的，它存在于所有电子器件和传输介质中。它是温度变 化的结果，但不受频率变化的影响。热噪声在所有频谱中以相同的形态分布，它是不能够消除的。 3.3 混沌理论 chaos theory 一种复杂的系统演化理论，主要将系统数据从有序的状态下转变成无序的状态模式。混沌是确定 性系统随机行为的总称，它的根源在于非线性的相互作用。混沌系统有如下几个基本特征：内在随机 性、初值敏感性和非规则的有序。 3.4 相位抖动 phase jetter 电路中的噪声会随机改变周期信号的频率，它在信号的相位上表现为一种特殊的随机过程，这种随 机现象就是相位抖动。 4 缩略语 下列缩略语适用于本文件。 CBC：密码分组链接（ Cipher Block Chaining) GM/T 0078-2020 CP：电荷泵（ Charge Pump) LFSR：线性反馈移位寄存器（ Linear Feedback Shift Register) NMOS:N 沟道金属氧化物半导体（ N-Metal-Oxide-Semiconductor) OFB：输出反馈（ Output FeedBack) VREF：电压基准（ Voltage Reference) 5 随机数生成模块一般模型 随机数生成模块的一般模型见图 10 随机源检测 物理＝机之电路利用 随机源序 J。 理随机； 大原理。 物理随机几 效检测 控制随机捉拉成 块的随 馨 *Ss+I//+,J J1 4: )Jj4 t :s$ 样量化，得到 、、噪声直接放 糕耀3% '4': 黔巍 t5t fif J4u tPJ1 Jj jj/j J ' 机源检测到戮效时，随机数 一令令布令季布“一娜 后处理电路利：： 鑫毫生成符合藐许检谧的随机数序列 0 后处痊算 理随机源的特 J趣行1、、十。 随机数生成胜有” 输出，一个是随机数序列输出，一个是提供 随机数序列的随机性应符合“ T 0005标准。随机源检测输 机性。 、 6 物理随机源电路的设计原理 6.1 混沌动力系统原理 6.1.1 原理典型模型 —— 才 \ \ 气是否失效，并 输出。物理随 实际中要根据物 源检测输出。输出的 丝测物理随机源的基本随 利用混沌函数的特性设计混沌系统，是将随机性噪声作为这个混沌系统的微小扰动，由于系统的输 出受系统中随机噪声的影响，使系统输出序列不可预测，产生随机序列。基于混沌动力系统原理实现物 理随机源，主要考虑混沌函数的电路实现和随机噪声的实现。 混沌系统包括离散混沌和连续混沌两种。标准从工程实现角度，给出一种典型的基于离散混沌系 统的物理随机源模型，见图 2. 混沌电路 反馈电路 A;, 采样电路 内部状态 采样时钟 ‘—— GM/T 0078-2020 图2 基于混沌系统的物理随机源模型 6.1.2 电路设计要求 6.1.2.1 采样频率 从初始状态开始， 采样时钟对 x，进才 输出为B:，注意、 a） 采样产 b） 采样 界 迭代值为 xn。外部 ）。记第艺次采样 6.1.2.2 函数参数选择 函数参书需 6.1.3 电路设计 基于混沌 一致。要尽量 、 ；计算每轮进行一次中间变量的迭代， i 对x，电平值进行采样，高电平则输出 1、低电 一般并不是同步变化的。采样频率应当满足如下要 应～迭代间的矍曝保～同的 x 翼厦殆鳄肇粤～多“白勺、代使得从外 谈｝一 少 ＝户 }‘ 一 霆「「廖韧～ - W s 'e 4+'; \+++$S$S 4 iI 1t! * 4 _ 4 mv 1L1 t 、： ; 1;~ 1h 6.1.4 电路示例 基于离散混沌系二 像理爵物理随机源电路示例详见附录 A中A.1, 6.2 相位抖动原理 6.2.1 原理典型模型 利用相位抖动产生随机数的方法应用广泛，在数字电路和模拟电路中均能够方便的设计与实现。 基于采样相位抖动原理实现物理随机源，主要考虑带抖动信号的产生和抖动采集电路的设计。典型的 基于相位抖动原理产生物理随机源的模型见图 3，包括振荡源、采样时钟和触发器。基于相位抖动产生 物理随机源，主要包括两种方式：一种是慢速时钟信号采样带抖动快速振荡信号，根据采样时刻振荡信 号相位的不确定性来产生随机比特序列；一种是带抖动慢速的时钟信号采样快速振荡信号，该方式产生 的物理随机源的随机性主要决定于慢速时钟信号抖动的范围和分布情况。 CLK 随机比特 触发器 ｝ ｛一一－ 一习 采样时钟 GM/I 0078-2020 图3 基于相位抖动原理产生物理随机源模型 6.2.2 电路设计要求 6.2.2.1 随