Ataques al Generador de Números Aleatorios (RNG) - Capítulo II

Al igual que con otros componentes de un sistema de cifrado, un software Generador de Números Aleatorios (RNG) debe estar diseñado para resistir a ciertos ataques y permanecer integro, funcional e inmutable, de lo contrario el RNG no puede ni debe ser aceptado u homologado, ya que según las pruebas efectuadas indicarían que no es lo suficientemente seguro y puede ser alterado o inducido de diferentes maneras, alterando de forma total o parcial los resultados.
 
En algunas ocasiones detectamos Generadores de Números Aleatorios (RNG) certificados u homologados que luego de ser sometidos a diferentes pruebas en nuestro laboratorio de I+D como las de la batería de ensayos desarrollados por el matemático George Marsaglia (DieHard) entre otras, detectamos que los mismos no corresponden a un Generador de Números Aleatorios (RNG), sino a un Pseudo Generador de Números Aleatorios (PRNG), es decir, un conjunto de rutinas o algoritmo para generar una secuencia de números que “se aproxima” a las propiedades de los números aleatorios, indicando que la secuencia “no es verdaderamente aleatoria”.
 
Por motivos de seguridad y prevención, NO revelaremos como se realizan los ataques de forma detallada, solo se abordarán conceptos generales afín de colaborar con los responsables de Seguridad de la Información y Auditorias IT.
 
Es muy aconsejable tanto para los programadores como para las empresas de auditorias, realizar diferentes pruebas y ensayos del tipo Black Box Testing (Pruebas de caja negra), white Box Testing (Pruebas de caja blanca) o Grey Box Testing (Pruebas mixtas entre negra y blanca).
 
Este tipo de análisis que recomendamos, están reconocidos por la “International Stardarization for Organization”, ofreciendo de esta manera un Check-list y un respaldo de reconocimiento mundial.
 
En ZL – Security Senior Consultant desarrollamos un sistema y procedimiento de auditoria mediante algoritmos de cifrado mundialmente conocidos como HASH, basados en un sistema de identificación, comparación y auditoria,  permitiéndonos de forma rápida y segura, comparar un Generador de Números Aleatorios (RNG) dentro de un laboratorio de desarrollo, contra el que se encuentre en funcionamiento en cualquier maquina de juego de azar dentro de un casino o bingo, afín de garantizar que estamos en presencia del mismo Generador de Números Aleatorios (RNG) o bien, si este fue modificado o manipulado.
 
La utilización de algoritmos de cifrado y/o firmas digitales (HASH) permiten mantener una correcta “Cadena de Custodia” lógica del Generador de Números Aleatorios (RNG) y una rápida detección en caso que este fuera manipulado o alterado por menor que halla sido.
 
En el siguiente y ultimo capitulo de “Ataques al Generador de Números Aleatorios (RNG) abordaremos algunos de los tantos escenarios de seguridad que se pueden implementar para una mayor seguridad y control de la información.