PatentDe  


Dokumentenidentifikation DE102004047425B4 21.06.2007
Titel Zufallszahlengenerator sowie Verfahren zur Erzeugung von Zufallszahlen
Anmelder Micronas GmbH, 79108 Freiburg, DE
Erfinder Lazich, Dejan, Prof., 76297 Stutensee, DE;
Alrutz, Herbert, Dr., 79102 Freiburg, DE;
Temerinac, Miodrag, 79194 Gundelfingen, DE;
Schober, Steffen, 76185 Karlsruhe, DE
Vertreter Patentanwälte Westphal Mussgnug & Partner, 78048 Villingen-Schwenningen
DE-Anmeldedatum 28.09.2004
DE-Aktenzeichen 102004047425
Offenlegungstag 20.04.2006
Veröffentlichungstag der Patenterteilung 21.06.2007
Veröffentlichungstag im Patentblatt 21.06.2007
IPC-Hauptklasse G06F 7/58(2006.01)A, F, I, 20051017, B, H, DE
IPC-Nebenklasse G07C 15/00(2006.01)A, L, I, 20051017, B, H, DE   

Beschreibung[de]

Die Erfindung betrifft einen Zufallsgenerator gemäß dem Oberbegriff des Patentanspruchs 14 sowie ein Verfahren zur Erzeugung von Zufallszahlen nach dem Oberbegriff des Patentanspruchs 1.

Zufallszahlengeneratoren und Verfahren zum Betreiben solcher Zufallsgeneratoren sind z. B. in DE 199 26 640 C und US 4,905,176 A beschrieben.

Zufallszahlengeneratoren (engl. Random Number Generators – RNGs) dienen der automatischen Erzeugung von zufälligen binären oder mehrwertigen Zahlen (Zufallszahlen). Zufallszahlengeneratoren werden in einer Vielzahl von Anwendungsbereichen benötigt. Hierzu gehören zum Beispiel:

  • – Kryptografische Anwendungen,
  • – Stochastische Simulationen,
  • – Testen von Software und Hardware,
  • – Computerspiele.

Im Folgenden werden ausschließlich kryptografische Anwendungen von Zufallszahlengeneratoren betrachtet. Zu diesen Anwendungen gehören beispielsweise:

  • – Für Authentifikation:

    – Challenge-Response-Protokolle,

    – Zero-Knowledge-Beweise.
  • – Für Schlüsselaustausch-Protokolle:

    – Diffie-Hellmann-Verfahren,
  • – Zur Schlüsselerzeugung,

    – Sitzungsschlüssel für symmetrische Verschlüsselungsverfahren,

    – Schlüsselerzeugung für asymmetrische Verschlüsselungsverfahren (Public-Key-Verfahren),

    – Erzeugung von binärem Rauschen (ONE-TIME-PAD, Mc-Eliece, Public-Key-Verfahren),

    – Parametererzeugung für Public-Key-Verfahren (z. B. die Erzeugung zufälliger Primzahlen).
  • – Für andere kryptografische Anwendungen:

    – Passworterzeugung,

    – Initialwerte (engl. Seeds) für deterministische Zufallszahlengeneratoren (Pseudo-Zufallszahlengeneratoren),

    – Ergänzung von Klartext-Blöcken (engl. Padding),

    – Sicheres Löschen von Speichermedien (durch mehrfaches Oberschreiben mit zufälligen Bitmustern).

Im Allgemeinen werden zwei Hauptarten von Generatoren unterschieden, die deterministischen (engl. Pseudo Random Number Generator – PRNG) und die physikalischen Zufallszahlengeneratoren (engl. True Random Number Generator – TRNG). Bei deterministischen Generatoren handelt es sich um algorithmische Verfahren, welche aus einem zufällig gewählten Initialwert (engl. Initial Value – IV) eine viel längere Folge von Zahlen erzeugen, die zufällig erscheint. Natürlich kann diese Folge, durch den deterministischen Charakter der Erzeugungsmethode, per se nicht echt zufällig sein.

Um tatsächlich zufällige Folgen von Zahlen erzeugen zu können, muss daher ein so genannter physikalischer Zufallszahlengenerator verwendet werden. Dieser nutzt zur Erzeugung der Zufallszahlen entweder nichtdeterministische oder chaotische physikalische Prozesse. Durch Messung und Bearbeitung von bestimmten Prozessmessgrößen (z. B. Spannung des thermischen Rauschens an einem Widerstand), werden dann die Zufallszahlen erzeugt.

Ziel dieser Erfindung ist, einen physikalischen Zufallszahlengenerator zu realisieren, welcher in integrierten Schaltkreisen (Integrated Circuits = ICs) eingesetzt (eingebettet) werden kann und die folgenden kryptografischen und wirtschaftlich relevanten Gütekriterien erfüllt:

  • – Implementierbar ausschließlich unter Verwendung standardisierter Bauelemente der herkömmlichen hochintegrierten Schaltkreise (z. B. logische Gatter),
  • – Aufgebaut unter Nutzung möglichst weniger Bauelemente (kostengünstig, mit kleiner IC-Oberfläche und geringem Stromverbrauch),
  • – Eingebettet als eigenständige, unabhängige, vor dem Einfluss anderer Einheiten geschützte Einheit auf dem IC
  • – Ein- und Ausschalten unabhängig von den übrigen Einheiten auf dem IC
  • – Schnelles Wiederherstellen der Funktionalität nach dem Einschalten (kurze Einwärme-Zeit)
  • – Möglichst hohe Anzahl von erzeugten Zufallbits pro Zeit (hohe Rate)
  • – Robustheit gegenüber Umgebungsbedingungen (Temperatur, elektromagnetische Störungen, Änderungen der Speisespannung, etc.)
  • – Robustheit gegenüber invasiven und nichtinvasiven Manipulationsversuchen (Angriffen)

    – Passive Angriffe

    – Aktive Angriffe
  • – Erfüllung statistischer Tests, welche die Qualität des Zufalls beurteilen
  • – Möglichst wenig deterministische Nachbearbeitung der erzeugten Zufallszahlen
  • – Möglichkeit einer Funktionalitäts- und Qualitätsprüfung während des Betriebs (Online-Test).

Im Folgenden wird davon ausgegangen, dass ein kryptografischer Zufallszahlengenerator als Bitquelle realisiert ist. Je nach Anwendung werden die einzelnen Bits zu Blöcken zusammengefasst (z. B. 56 Bits für einen Schlüssel des Data Encryption Standard – DES). Im Allgemeinen ist davon auszugehen, dass die durch einen kryptografischen Zufallszahlengenerator erzeugten Bitfolgen (z. B. ein Schlüssel) geheim bleiben müssen, um die Sicherheit des Kryptosystems nicht zu kompromittieren (in den im vorigen Abschnitt aufgeführten Anwendungen gilt dies für alle Verfahren, bis auf Challenge-Response-Protokolle und Zero-Knowledge-Beweise). In diesen Fällen erzeugt der Zufallszahlengenerator das Geheimnis (engl. Secret) des jeweiligen Kryptoverfahrens. Mithilfe dieses Geheimnisses werden nun z. B. Klartexte chiffriert. Falls dem Angreifer das Geheimnis unbekannt ist, hat er immer die Wahl alle möglichen Bitfolgen durchzuprobieren (vollständige Suche). Im obigen Beispiel würde dies bedeuten, dass der Angreifer, welcher ein mit dem unbekannten Schlüssel chiffrierten Klartext beobachtet hat, im (statistischen) Mittel 255 mögliche Schlüssel durchprobieren muss, bis er erwarten kann, den tatsächlich erzeugten Schlüssel gefunden zu haben. Dieser Angriff ist aus Sicht des Angreifers der schlechtest mögliche Fall. Um ein System erfolgreich anzugreifen, muss der Angreifer in der Lage sein, eine Vorhersage über eine bestimmte Anzahl von Bits zu treffen, die ein Generator zu einem bestimmten Zeitpunkt erzeugt. Dies kann ohne Kenntnis anderer vom Generator erzeugten Bitfolgen geschehen oder unter Kenntnis von Bitfolgen, die der Generator vor oder nach der unbekannten Bitfolge erzeugt hat. Der Angreifer kann entweder versuchen die erzeugte Bitfolge komplett oder nur zu Teilen zu erraten. Im letzteren Fall kann er die verbleibenden Bits durch eine vollständige Suche finden.

Um eine solche Vorhersage zu treffen, stehen dem Angreifer alle bekannten technischen und wissenschaftlichen Mittel zur Verfügung. Er ist nur hinsichtlich der für den Angriff aufzuwendenden Kosten eingeschränkt. Man kann davon ausgehen, dass diese unter einer festgelegen Kostengrenze zu liegen haben (ein ökonomisches Argument: Der zu erwartende Gewinn durch den Angriff sollte die Kosten für den Angriff nicht überschreiten).

Je nach Höhe der Kostengrenze kann die Bitquelle in verschiedene Sicherheitsstufen eingeteilt werden. Widersteht eine Bitquelle für eine gegebene Kostengrenze allen Angriffen, so soll sie, bezüglich dieser Kostengrenze, als praktisch sichere Bitquelle bezeichnet werden.

Die 14 zeigt ein Modell eines physikalischen Zufallszahlengenerators TRNG in Form einer physikalischen Bitquelle. Wesentlicher Bestandteil der Quelle ist ein physikalisches dynamisches, unvorhersagbares System, die so genannte Zufallsquelle 1. Mit dieser Zufallsquelle 1 kann ein interner (zeitabhängiger) Zustand assoziiert werden. In zeitlichen Abständen wird der Wert des Zustands der Zufallsquelle 1 gemessen und bearbeitet (Werteermittlung 2) und hieraus ein oder mehrere Zufalls-Bit erzeugt (Zufalls-Bit-Erzeugung 3). Folgen dieser derart erzeugten Zufallsbits werden als interne Zufallsbits bezeichnet. Diese können anschließend einer algorithmischen Nachbearbeitung 4 unterzogen werden. Die mathematische Nachbearbeitung 4 dient im Allgemeinen dem Zweck, die Qualität der internen Zufallszahlen zu verbessern (ein Maß für die Qualität von Zufallszahlen muss hierbei noch definiert werden. Näheres hierzu im folgenden Abschnitt). Im Allgemeinen spricht man von Zufallsextraktion 4. Hierunter ist die Beseitigung von Abhängigkeiten zwischen aufeinander folgenden erzeugten Bits und der Beseitigung eines oftmals vorhandenen Bias (Ungleichverteilung der Nullen und Einsen) zu verstehen. Die hierbei erzeugten Zufallsbits werden in einem weiteren Schritt ausgegeben und gegebenenfalls in einem Ausgabespeicher hinterlegt (Zufalls-Bit-Ausgabe 5).

Wie in 14 dargestellt, ist ein physikalischer Zufallszahlengenerator TRNG kein isoliertes System, sondern eingebettet in eine physikalische Umgebung 6. Es ist davon auszugehen, dass der gemessene Zustand und damit auch die erzeugten Zufallsbits von bestimmten physikalischen Größen der Umgebung 6 abhängig sind. Hierzu gehören Größen, wie z. B. die an das Gerät gelieferte Versorgungsspannung, die Umgebungstemperatur oder elektromagnetische Felder.

Anhand der Art des physikalischen Systems können verschiedene Arten von Generatoren unterschieden werden. Es können zwei wesentliche Arten der verwendeten physikalischen Systeme ausgemacht werden:

  • – Quantenphysikalische Systeme,
  • – Klassisch physikalische Systeme.

Unter einem quantenphysikalischen System versteht man ein System, welches durch die Gesetze der Quantenmechanik beschrieben wird. Nach der derzeitigen allgemeinen wissenschaftlichen Ansicht sind die hierbei auftretenden Phänomene, auf welche sich dann die Zufallserzeugung abstützt, echt zufällig. Beispiele hierfür sind Zerfallsprozesse von radioaktiven Materialien.

Klassisch physikalische Systeme hingegen werden durch die deterministischen Gesetze der (klassischen) Physik beschrieben. Dass diese Systeme trotzdem unvorhersagbar sein können, kann verschiedene Gründe haben. Für Systeme mit vielen Freiheitsgraden sind die auftretenden Wechselwirkungen innerhalb des Systems oft zu komplex um sie exakt vorherzusagen. Hinzu kommt, dass der Anfangszustand des Systems oft nicht exakt bestimmt werden kann. Dieser Umstand hat im Falle so genannter chaotischer Systeme weitere Auswirkungen. In solchen Systemen führen kleinste Änderungen im Anfangszustand, im Laufe der Zeit, zu sich stark unterscheidenden, nicht vorhersagbaren Systemzuständen.

Um eine kryptografische Bitquelle zu beurteilen, muss sie mit den Eigenschaften der vorstehend vorgestellten praktisch sicheren kryptografischen Bitquelle verglichen werden. Hierzu gehören eine statistische Beurteilung der erzeugten Bitfolgen und eine Prüfung der Möglichkeiten der so genannten Seitenkanalangriffe. Beim Einsatz von Zufallszahlengeneratoren in eingebetteten Systemen kommt diesen Angriffen tatsächlich eine große Bedeutung zu. Unter einem Seitenkanalangriff ist ein Versuch zu verstehen, die vom Generator erzeugten Zahlen vorherzusagen, bzw. ihre Erzeugung zu beeinflussen. Dies geschieht nicht-invasiv durch Ermittlung von Messwerten aus der Umgebung des Generators (passive Angriffe), bzw. durch eine gezielte Beeinflussung der Umgebung (aktive Angriffe). Eine weitere Verschärfung eines solchen Angriffs stellen die invasiven Seitenkanalangriffe dar (zum Beispiel könnte der IC aufgebohrt werden, um dort Signale zu messen). Typische passive, nicht-invasive Angriffe sind zum Beispiel die Messung der elektromagnetischen Abstrahlung oder des Stromverbrauchs des Generators.

Für die statistische Beurteilung der, durch einen Generator generierten Bitfolgen stehen verschiedene statistische Tests zur Verfügung (z. B. Killmann, Wolfgang; Schindler, Werner: „Ein Vorschlag zu: Funktionalitätsklassen und Evaluationsmethodologie für physikalische Zufallszahlengeneratoren", Bundesamt für Sicherheit in der Informationstechnik, 2001;/Marsaglia, G. Diehard: „A Battery of Tests for Randomness", URL http://stat.fsu.edu/pub/diehard/. 1996;/Ruhkin, A.L.; Sotot, J.; Nechvatal, J.; Smid, M.; Levenson, M.; Banks, D.; Vangle, M.; Leigh, S.; Vo, S.; Dray, J.: „A Statistical Test Suite for the Validation of Cryptography Random Number Generators", National Institute of Standards and Technology, Gaithersburg, MD, 2000;/Schindler, Werner and Wolfgang Killmann: „Evaluation Criteria for True (Physical) Random Number Generators Used in Cryptographic Applictions", in: Jr., Burton S.K. (Hrsg.); Kaya Koc, Cetin (Hrsg.); Paar, Christof (Hrsg.): „Cryptographic Hardware and Embedded Systems – CHES 2002", 4th International Workshop, Redwood Shores, CA, USA, August 13-15, 2002, Revised Papers. BD. 2523. Springer, 2003 (Lecture Notes in Computer Science). – ISBN 3-540-00409-2, S. 431-449.).

Prinzipiell steht man bei der Beurteilung dieser endlichen Bitfolgen vor dem Problem der Definition des Begriffs einer zufälligen endlichen Sequenz. Nach Kolmogorov (Kolmogorov, Andrei N.: „Three approaches to the quantitative definition of information", in: "Problems in Information Transmission 1" (1965), Nr. 1) ist eine endliche Sequenz zufällig, falls sie nicht komprimiert werden kann. Dies bedeutet, dass die Länge ihrer kürzesten algorithmischen Beschreibung, bezüglich eines ausgewählten Rechnermodells, von der gleichen Größenordnung ist, wie die Länge der Sequenz selbst (dies ist die so genannte Kolmogorov-Komplexität einer Folge, mit der Turning-Maschine als Rechnermodell). Der Grundgedanke hierbei ist, dass eine Folge, welche komprimierbar ist, Regelmäßigkeiten aufweisen muss, um die Kompression zu ermöglichen. Zufällige Folgen weisen also in diesem Sinne keinerlei Regelmäßigkeiten auf. Leider lassen sich aus diesem Konzept keine direkten Tests für die Zufälligkeit von Folgen ableiten, da die Kolmogorov-Komplexität im Sinne der Berechenbarkeitstheorie nicht berechenbar ist.

Die statistischen Tests sind nur in der Lage eine Bitfolge bezüglich bestimmter Eigenschaften zu prüfen, welche man zufälligen (endlichen) Bitfolgen zuweist. Diese Eigenschaften leiten sich oft aus intuitiven Vorstellungen ab, welche man nach allgemeiner Auffassung vom Zufall hat. Tatsächlich konnte von einer Reihe Tests gezeigt werden, dass sie, von im Sinne Kolmogorov zufälligen Bitfolgen, bestanden werden (Li, Ming; Vitannyi, Paul: „An Introduction to Kolmogorov Complexity and its Applications", Springer-Verlag, 1993, – ISBN 0-387-94053-7).

Aus dem Stand der Technik sind nunmehr physikalische Zufallszahlengeneratoren in einer Vielzahl von Abwandlungen bekannt. Zu Beginn der Zufallszahlengeneratorenentwicklung wurden vorwiegend externe, d. h. nicht in ICs eingebettete Zufallszahlengeneratoren entwickelt. Hierfür steht eine größere Auswahl an verwendeten Zufallsquellen zur Verfügung. In heutigen, externen Zufallszahlengeneratoren werden eine Vielzahl von Zufallsquellen verwendet, beispielsweise radioaktive Quellen, elektronisches, thermisches Rauschen in Widerständen oder zufällige Ereignisse in der Umgebung (z. B. Zeitintervalle zwischen Tastendrucken auf einer Tastatur).

Erst in jüngster Zeit werden in kommerziellen ICs Zufallszahlengeneratoren eingebettet. Hier spielen nun die Art der Zufallsquelle, deren Oberflächengröße auf dem IC, die technische Realisierung und Miniaturisierung eine wichtige Rolle. Allerdings wird bis heute die Immunität der Zufallszahlengeneratoren gegen Seitenkanalangriffe kaum beachtet. Beispiele für realisierte eingebettete Zufallszahlengeneratoren finden sich in DE 101 17 362 A1; Cryptography Research, Inc. „Evaluation of the VIA C3 Nehemiah Random Number Generator", URL http://www.cryptography.com/resources/whitepapers/VIA rng.pdf; Cryptography Research, Inc. "The Intel Random Number Generator" URL http://www.cryptography.com/resources/whitepapers/IntelRNG.pdf; US 2002/0186 086 A1; US 4,855,690; DE 101 03 071 A1; Fischer, Viktor; Drutarovsky, Milos: "True Random Number Generator Embedded in Reconfigurable Hardware", in: Jr., Burton S.K. (Hrsg.); Kaya Koc, Cetin (Hrsg.); Paar, Christof (Hrsg.): „Cryptographic Hardware and Embedded Systems – CHES 2002", 4th International Workshop, Redwood Shores, CA, USA, August 13-15, 2002, Revised Papers. BD. 2523. Springer, 2003 (Lecture Notes in Computer Science). – ISBN 3-540-00409-2, S. 415-430,US 5,706,218; WO 03/081417, DE 102 13 269 A1; US 2003/0185392 A1; EP 1 343 073 A2; Tkacik, Thomas E.: "A Hardware Random Number Generator", in: Jr., Burton S.K. (Hrsg.); Kaya Koc, Cetin (Hrsg.); Paar, Christof (Hrsg.): „Cryptographic Hardware and Embedded Systems – CHES 2002", 4th International Workshop, Redwood Shores, CA, USA, August 13-15, 2002, Revised Papers. BD. 2523. Springer, 2003 (Lecture Notes in Computer Science), – ISBN 3-540-00409-2, S. 450-453.

Die Erfindung geht von einem sogenannten Inverterketten-Zufallszahlengenerator aus, wie er gemäß dem Stand der Technik in unterschiedlichster Ausführung beschrieben ist. Beispielhaft wird auf die DE 102 13 269 A1 verwiesen.

Grundbaustein dieser Zufallszahlengeneratoren ist ein so genannter Ringoszillator 8. Er besteht aus der seriellen Verbindung von einer ungeraden Anzahl K von Invertern inv1, inv2, ... invK (logischen NOT-Gattern), wobei der Ausgang des letzten Inverters invK mit dem Eingang des ersten Inverters inv1 verbunden ist (siehe 15a). Durch die Verzögerungszeiten der einzelnen Inverter inv1, inv2, ... invK kommt es nur bei einer ungeraden Anzahl K von Gattern inv1, inv2, ... invK zu einer periodischen Schwingung.

Um diese Schwingung zu starten bzw. zu stoppen, kann der erste Inverter inv1 durch ein NAND-Gatter nand1 mit Steuereingang start/stop ersetzt werden (siehe 15b). Wird dieser Steuereingang start/stop auf logisch Eins („1") gesetzt, beginnt der Ringoszillator 9 zu schwingen.

16a zeigt einen Ringoszillator 10 für K = 3 mit zwei Invertern inv2, inv3 und einem NAND-Gatter nand1. 16b zeigt einen idealisierten Signalverlauf am Eingang 11 und Ausgang 12 eines Inverters inv, dessen Verzögerungszeit &tgr; beträgt. Nimmt man an, das die Gatter nand1, inv2, inv3 im Ringoszillator 10 nach 16a ein derartig idealisiertes Verhalten aufweisen, so zeigt 16c den idealisierten Signalverlauf des Ringoszillators 10 gemäß der 16a an den Punkten S, B, C und A = A', nachdem der Eingang 5 für eine Laufzeit T auf „1" gesetzt wurde.

Für eine technische Realisierung des Ringoszillators 10 mit K = 3 mit dem CMOS-Baustein 74HCT04 (ohne Eingangs-NAND-Gatter, 17a), ist ein mit einem Oszilloskop aufgenommener Signalverlauf 14 am Punkt A' in 17b darstellt. Wie sich aus der Ausschnittsvergrößerung des Signalverlaufs 14 (in 17b) ergibt, wird durch thermische Bewegung der Elektronen in den Leitungen des Schaltkreises 74HCT04 ein thermisches Rauschsignal aufaddiert. 17c zeigt die Hüllkurve 15 des verrauschten Schwingungssignals 14 beobachtet über ein längeres Zeitintervall t. Wie zu bemerken ist, führt das Rauschen in den Flanken des Signals 14 zu einer früheren oder späteren Überschreitung des Entscheidungspegels relativ zum rauschfreien Signal. Diese zeitlich zufällige Verschiebung der Flanken wird als Jitter bezeichnet. Die Differenz zwischen den maximal möglichen Flankenverschiebungen, beobachtet bezüglich eines fixen Zeitpunktes t1 (17c), ist mit dem Bezugszeichen &Dgr; bezeichnet. Der Betrag dieser Differenz &Dgr; nimmt zu, je weiter eine Flanke von dem Bezugszeitpunkt t1 entfernt ist. Dieses Phänomen ist als Jitter-Akkumulation bekannt.

In 18 ist ein Schwingungssignal 14 des Ringoszillators 10 aus 17a, mit einer Frequenz f von ca. 25 MHz, 512 mal über die Dauer von 0,2 s gemittelt, dargestellt. Die Einhüllende 13 dieses gemittelten Signals zeigt den Verlauf der Autokorrelation für verschiedene zeitliche Abstände vom Triggerpunkt an. Wie man aus 18 sehen kann, wird das Signal 14 erst nach ca. 0,28 s durch akkumulierten Jitter vollständig dekorreliert.

Dies bedeutet, dass die erzeugten Bits erst bei einer Abtastungsrate &ngr; von 3 Hz (oder kleiner) dekorreliert wären und somit für eine Zufallsbitquelle genutzt werden könnten. Um die maximal mögliche Rate &ngr;max der erzeugten Zufallsbits zu erhöhen, kann man mehrere Ringoszillatoren mit verschiedenen Perioden (d.h. mit verschiedenen Werten für K) kombinieren. 19 zeigt zwei Ausführungsbeispiele für Schaltungsanordnungen basierend auf einer Anzahl L von Ringoszillatoren 17, 18, 19 und 20, 21, 22. Hierbei wird jeweils eine Paritätsprüfung (sogenanntes XORing) der Ausgänge durchgeführt. Konkret bedeutet dies, dass die Ausgänge der jeweiligen Ringoszilatoren 17, 18, 19 und 20, 21, 22 mit den Eingängen eines XOR-Gatters xor verbunden werden, so dass an dessen Ausgang genau dann ein „1"-Signal erzeugt wird, wenn an den Ausgängen der Ringoszilatoren 17, 18, 19 und 20, 21, 22 eine ungerade Anzahl von logischen „1" anliegt. Eine gerade Anzahl von logischen „1" wird am Ausgang des XOR-Gatters XOR ein „0"-Signal erzeugen. Deshalb wird das Signal am Ausgang des XOR-Gatters XOR nachfolgend als Paritätssignal PS bezeichnet.

Die beiden Schaltungen gemäß den 19a bzw. 19b unterscheiden sich lediglich in der Beschaffung der start/stop-Eingänge der Ringoszillatoren 17, 18, 19 und 20, 21, 22. Bei der ersten Ausführungsvariante gemäß der 19a werden die start/stop-Eingänge der einzelnen Ringoszillatoren 17, 18, 19 gemeinsam angesteuert. Die zweite in 19b dargestellte Möglichkeit besteht darin, die Eingänge der Ringoszillatoren 20, 21, 22 separat anzusteuern, um damit die Anfangsphasen der einzelnen Schwingungssignale gegeneinander zu verschieben.

In 20a ist eine Schaltung mit Paritätsprüfung von zwei Ringoszillatoren 24, 25 mit gemeinsamem start/stop Signal dargestellt. Wie in 20b und 20c zu sehen ist, bleibt die Periode P des Paritätssignals PS, 29 konstant. Durch langsame Phasenverschiebungen der einzelnen Ringoszillator-Signale 27, 28 ändert sich der Signalverlauf 29 des Paritätssignals PS, innerhalb einer Periode P über größere Zeitabstände, was in 21a deutlich zu sehen ist. Die Einhüllende 30 des Paritätssignals PS, 29 über einen Zeitraum von ca. 0,2 s in 21b zeigt eine variablere Autokorrelation, die kleiner ist, als die Autokorrelation der einzelnen Komponenten (siehe 18). Diese Paritätsprüfung von Ringoszillatoren wird in vielen Realisierungen von Zufallszahlengeneratoren benutzt. Mit dieser Technik kann man die Korrelationen nicht komplett entfernen und daher wird eine zusätzliche, die Rate herabsetzende, deterministische Nachbearbeitung unvermeidbar.

Die Aufgabe der Erfindung besteht nunmehr darin, einen Zufallszahlengenerator der gattungsgemäßen Art sowie ein Verfahren zur Erzeugung einer Zufallszahlenfolge, wie es aus dem Stand der Technik bekannt ist, derart auszuführen bzw. weiterzubilden, dass eine deterministische Nachbearbeitung nicht mehr notwendig ist.

Diese Aufgabe wird durch einen Zufallszahlengenerator mit den Merkmalen des Patentanspruchs 14 sowie durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst.

Vorteilhafte Ausführungen und Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben.

Die Erfindung geht von einem Verfahren zur Erzeugung von Zufallszahlen aus, bei dem von wenigstens zwei Ringoszillatoren oszillierende digitale Ausgangssignale gleicher oder unterschiedlicher Periodizität erzeugt werden und bei dem ein einen logischen Zustand, nämlich logisch „0" oder „1", darstellendes externes Paritätssignal erzeugt wird, welches genau dann den logischen Zustand „1" einnimmt, wenn eine ungerade Anzahl der Ausgangssignale den logischen Zustand „1" hat, und ansonsten den logischen Zustand „0" einnimmt. Erfindungsgemäß ist vorgesehen, dass das externe Paritätssignal auf jeweils einen externen Paritätseingang der jeweiligen Ringoszillatoren rückgekoppelt wird. Wie aus dem Stand der Technik bekannt ist kann das externe Paritätssignal zur Erzeugung von Zufallsbits verwendet werden, indem es abgetastet wird. Aufgrund der Rückkopplung des Paritätssignals auf den (externen Paritäts-) Eingang des jeweiligen Ringoszillators wird die Autokorrelation des Paritätssignals gegenüber dem aus dem Stand der Technik bekannten Verfahren ohne Rückkopplung signifikant reduziert. Daher kann mit dem erfindungsgemäßen Verfahren die Rate der erzeugten Zufallsbits deutlich erhöht werden.

Ein Zufallszahlengenerator gemäß der Erfindung umfasst in entsprechender Weise wenigstens zwei vorzugsweise aus unabhängig freischwingenden rückgekoppelten Inverterketten mit einer ungeraden Anzahl an hintereinandergeschalteten Invertern aufgebaute Ringoszillatoren, welche die vorstehend genannten oszillierenden digitalen Ausgangssignale gleicher oder unterschiedlicher Periodizität erzeugen, sowie erste, vorzugsweise durch ein Exklusiv-ODER-Gatter gebildete, Paritätssignalerzeugungsmittel, welche das vorerwähnte externe Paritätssignal erzeugen. Erfindungsgemäß sind beispielsweise durch Exklusiv-ODER-Gatter gebildete Rückkoppelmittel vorgesehen, welche dieses externe Paritätssignal auf den jeweils einen externen Paritätseingang der jeweiligen (aus Inverterketten gebildeten) Ringoszillatoren zurückkoppeln.

Erfindungsgemäß ist in einer bevorzugten Ausführungsvariante vorgesehen, dass zu jedem Ringoszillator jeweils ein einen vorgegebenen logischen Zustand (z.B. „1") darstellendes internes Paritätssignal erzeugt wird, wenn entweder das Ausgangssignal des jeweiligen Ringoszillators oder das auf den externen Paritätseingang des jeweiligen Ringoszillators rückgekoppelte Signal einen vorgegebenen logischen Zustand (z.B. „1") einnimmt. Diese internen Paritätssignale können wiederum durch weitere Paritätssignalbildung der vorstehend beschriebenen Art in ein weiteres Paritätssignal überführt werden, welches in vorstehend beschriebener Weise zur Erzeugung von Zufallsbits verwendet werden kann, indem es abgetastet wird. Durch diese weitere Paritätsbildung ergibt sich ein Signal, dessen Autokorrelation gegenüber dem externen Paritätssignal noch einmal signifikant reduziert ist. Damit einhergehend kann auf diese Weise die mögliche Abtastrate zur Erzeugung der Zufallsbits noch einmal deutlich erhöht werden.

Der erfindungsgemäße Zufallszahlengenerator umfasst demgemäss zur Erzeugung der inneren Paritätssignale entsprechende Paritätssignalerzeugungsmittel. Diese umfassen vorzugsweise Exklusiv-ODER-Gatter mit jeweils einem externen Paritätseingang und einem Ausgangssignal-Eingang. An dem externen Paritätseingang liegt ein vom externen Paritätssignal abgeleitetes Signal, z.B. das Paritätssignal selbst oder ein Signal, dessen Erzeugung nachfolgend im Detail beschrieben wird, an. An dem Ausgangssignal-Eingang liegt das jeweilige Ausgangssignal des jeweiligen Ringoszillators an. Zur Erzeugung des weiteren Paritätssignals umfasst der erfindungsgemäße Zufallszahlengenerator weitere Paritätssignalerzeugungsmittel, welche das einen logischen Zustand „0" oder „1" darstellende weitere Paritätssignal erzeugen, wenn eine ungerade Anzahl der internen Paritätssignale einen vorgegebenen logischen Zustand (z.B. „1") einnimmt. Auch diese Mittel umfassen in entsprechender Art und Weise vorzugsweise ein Exklusiv-ODER-Gatter (XOR-Gatter) an dessen Eingängen die internen Paritätssignale anliegen.

Wie vorstehend bereits erwähnt wurde, kann insbesondere bei aus Inverterketten gebildeten Ringoszillatoren ein Startproblem auftreten. Um dieses Problem zu vermeiden sind erfindungsgemäß bei dem Zufallszahlengenerator gemäß der Erfindung Startmittel vorgesehen, welche ein Startsignal (z.B. eine logische „1") erzeugen und einem start/stop-Eingang wenigstens eines der Ringoszillatoren zuführen, so dass dieser zur Oszillation angeregt wird. Hierzu weist dieser beispielsweise anstelle eines eingangsseitigen Inverters ein NAND-Gatter mit zwei Eingängen auf. Der eine Eingang und der Ausgang dieses NAND-Gatters sind anstelle des Eingangs und des Ausgangs des herausgenommenen Inverters mit der verbleibenden Inverterkette verschaltet. Der andere Eingang bildet den vorerwähnten start/stop-Eingang zum Zuführen des Startsignals.

Es können grundsätzlich sämtliche Ringoszillatoren separat über entsprechende start/stop-Eingänge gestartet werden. Es hat sich jedoch in vielen Fällen als günstig erwiesen, wenn alle Ringoszillatoren, vorzugsweise gleichzeitig, mit Hilfe desselben Startsignals (z.B. logisch „1") zur Oszillation angeregt werden. Zu diesem Zweck sind beispielsweise alle Ringoszillatoren anstelle eines eingangsseitigen Inverters jeweils mit einem NAND-Gatter versehen, deren start/stop-Eingänge zum Zuführen des Startsignals (z.B. einer logischen „1") miteinander verbunden sind.

Je nach Konstellation kann auch jetzt noch ein Startproblem auftreten. Dieses Startproblem lässt sich dadurch beseitigen, dass wenigstens einem externen Paritätseingang ein Inverter vorgeschaltet ist, dem das externe Paritätssignal zugeführt wird. Zum einen tritt durch diesen Inverter eine Verzögerung des Signals an diesem externen Paritätseingang und zum anderen tritt eine Polaritätsumkehr des Signals an diesem externen Paritätseingang mit vorgeschaltetem Inverter ein. Letzteres führt zu einer Polaritätsumkehr am Eingang des entsprechenden Ringoszillators und damit zu einem Ingangsetzen der Oszillation in diesem Ringoszillator. In der Folge werden auch die anderen angeschlossenen Ringoszillatoren zur Schwingung angeregt.

In bestimmten Anwendungsfällen hat es sich als vorteilhaft herausgestellt, wenn allen externen Paritätseingängen Inverterketten mit einer unterschiedlichen Anzahl an Invertern vorgeschaltet sind, denen das externe Paritätssignal zugeführt wird. Eine Schwingung der Schaltungsanordnung kommt dann zustande, wenn die Summe der ein ungeradzahliges Vielfaches einer Verzögerungszeit eines Gatters (Inventer, NAND-Gatter, XOR-Gatter) betragenden Periodizität eines der von einem ersten der Ringoszillatoren erzeugten Ausgangssignals und der ein Vielfaches der Verzögerungszeit betragenden Verzögerungszeitdauer des externen Paritätssignals an dem externen Paritätseingang des ersten der Ringoszillatoren ein ungeradzahliges Vielfaches der Verzögerungszeit ist und wenn die Summe der ein ungeradzahliges Vielfaches der Verzögerungszeit betragenden Periodizität eines der von einem zweiten der Ringoszillatoren erzeugten Ausgangssignals und der ein Vielfaches der Verzögerungszeit betragenden Verzögerungszeitdauer des externen Paritätssignals an dem externen Paritätseingang des zweiten der Ringoszillatoren ein geradzahliges Vielfaches der Verzögerungszeit ist.

Wie vorstehend bereits erwähnt wurde können sowohl das externe Paritätssignal als auch das weitere Paritätssignal zur Erzeugung von Zufallsbits verwendet werden. Der Zufallszahlengenerator gemäss der Erfindung kann daher Abtastmittel aufweisen, welche das externe Paritätssignal zur Erzeugung von Zufallsbits mit einer vorgegebenen Rate abtasten und/oder Abtastmittel, welche das weitere Paritätssignal zur Erzeugung von Zufallsbits mit einer vorgegebenen Rate abtasten.

Die maximale Abtastrate kann weiter erhöht werden, wenn mehrere Zufallszahlengeneratoren der vorstehend beschriebenen Art kombiniert werden. Ausgehend von Zufallszahlengeneratoren, welche externe, insbesondere abgetastete, Paritätssignale erzeugen und/oder welche weitere, insbesondere abgetastete, Paritätssignale erzeugen lassen sich durch nochmalige bzw. wiederholte Paritätsbildung aus diesen Paritätssignalen (es sind beliebige Variationen von Paritätssignalbildungen möglich) Zufallszahlengeneratoren bilden bei denen das zur Zufallszahlenerzeugung vorgesehene (Super-)Paritätssignal eine nahezu beliebig reduzierte Autokorrelation aufweist.

Die weitere Zufallszahlengeneration erfordert eine Abtastung. Hierbei spielt es keine Rolle, ob die externen Paritätssignale oder die weiteren Paritätssignale oder sonstige Paritätssignale niederer Ordnung zur Erzeugung von Zufallsbits mit einer vorgegebenen Rate synchron abgetastet werden oder das (Super-) Paritätssignal höchster Ordnung zur Erzeugung von Zufallsbits mit der vorgegebenen Rate abgetastet wird.

Die Abtastung kann in zeitlich konstanten Abständen erfolgen, erfindungsgemäß ist jedoch auch vorgesehen, eine Abtastung in zufälligen, nicht uniformen Abtastintervallen durchzuführen. Beispielsweise lässt sich eine zufällige Abtastung erreichen, wenn die Abtastung zu einem Zeitpunkt durchgeführt wird, wenn ein von einem der vorstehend beschriebenen Zufallsgeneratoren zufällig erzeugtes Zufallsbit einen vorbestimmten logischen Zustand (z.B. „1") einnimmt.

Die Abtastung kann beispielsweise mittels eines D-Flip-Flops erfolgen, welches in einem Takt von einem Taktgeber, insbesondere von einem astabilen Multivibrator (bei zeitlich konstanten Abtastintervallen) oder von einem rückgekoppelten Ringoszillatoren der vorstehend beschriebenen Art (bei zeitlich zufälligen Abtastintervallen), angesteuert wird.

Die Erfindung wird nunmehr anhand der Zeichnungen näher beschrieben. Es zeigen:

1 Ringoszillatoren mit rückgekoppeltem Paritätssignal.

2 ein Beispiel des Startproblems bei rückgekoppelten Ringoszillatoren:

  • a) vor dem Start;
  • b) nach dem Start.

3 eine Lösung des Startproblems aus 2;

  • a) vor dem Start;
  • b) nach dem Start.

4 den Signalverlauf des Paritätssignals PS in der Schaltung aus 3 in einer Zeitspanne von:

  • a) 10ns;
  • b) 40ns;
  • c) 200ns;
  • d) 400ns;
  • e) 1000ns;
  • f) 2000ns.

5 ein gemitteltes Paritätssignal der Schaltung aus 3.

6 ein allgemeines Schaltbild von rückgekoppelten Ringoszillatoren (RRO).

7 einen Schaltkreis von RRO (4; 1, 3, 4, 5; 3, 2, 1, 0).

8 interne Paritätssignale des RRO (4; 1, 3, 4, 5; 3, 2, 1, 0) nach der 7 in den Punkten P1, P2, P3 und P4.

9 einen Zufallsbitgenerator realisiert mit RROs.

10 ein Beispiel eines Zufallszahlengenerators mit RRO (4; 1, 3, 4, 5; 3, 2, 1, 0).

11 einen Zufallszahlengenerator mit einer Anzahl N RROs und abgetastetem Superparitätssignal.

12 einen Zufallszahlengenerator mit einer Anzahl N abgetasteten RROs und abgetastetem Superparitätssignal.

13 einen Zufallszahlengenerator mit einer Anzahl N synchronisiert, abgetasteten RROs und abgetastetem Superparitätssignal.

14 ein Modell eines physikalischen Zufallsgenerators (Stand der Technik).

15 Ring-Oszillatoren gemäß dem Stand der Technik

  • a) Inverterketten-Ring Oszillator;
  • b) Inverterketten-Ring Oszillator mit Steuereingang.

16 ein Beispiel für die Funktionsweise eines Ring-Oszillators nach dem Stand der Technik

  • a) einen Ring Oszillator für K = 3 (Stand der Technik);
  • b) eine idealisierte Verzögerung eines Inverters;
  • c) einen Verlauf eines Schwingsignals.

17 ein Beispiel für die praktische Realisierung des Ring-Oszillators nach 16

  • a) Realisierung eines Ring Oszillator für K = 3 mit dem Baustein 74HCT04,
  • b) Verlauf seines Schwingungssignals mit aufaddiertem thermischen Rauschen;
  • c) Hüllkurve des verrauschten Schwingungssignals.

18 ein gemitteltes Schwingungssignal des Ringoszillators aus 17a.

19 ein Beispiel für die Durchführung einer sogenannten Paritätsprüfung (Stand der Technik)

  • a) eine Schaltung für die Paritätsprüfung von L Ringoszillatoren mit gemeinsam angesteuertem start/stop-Signal;
  • b) eine Schaltung für die Paritätsprüfung von L Ringoszillatoren mit getrennt angesteuertem start/Stopp-Signal.

20 ein Beispiel für die praktische Durchführung der Paritätsprüfung nach der 19a

  • a) ein Beispiel für eine Schaltung für Paritätsprüfung von zwei Ringoszillatoren mit gemeinsam angesteuertem start/Stopp-Signal
  • b) Signale der einzelnen Komponenten und Verlauf des Paritätssignals.
  • c) Signale der einzelnen Komponenten und Verlauf des Paritätssignals.

21 ein Beispiel für die praktische Durchführung der Paritätsprüfung nach der 19a

  • a) Signale der einzelnen Komponenten und Verlauf des Paritätssignals
  • b) ein gemitteltes Paritätssignal der Schaltung aus 20a.

22 einen RRO mit neutralisiertem Restbias

Die grundsätzliche Idee der Erfindung besteht, wie vorstehend dargelegt wurde, in der Rückkopplung des Paritätssignals auf die Eingänge der einzelnen Ringoszillatoren.

Die 1 zeigt ein erstes Ausführungsbeispiel eines erfindungsgemäßen Zufallsgenerators basierend auf einer Anzahl L von Ringoszillatoren 32, 33, 34, deren Ausgänge entsprechenden Eingängen eines XOR-Gatters xor zugeführt werden, an dem ein Paritätssignal PS gebildet wird.

Wie 1 zeigt, wird die Zuführung des rückgekoppelten Paritätssignals PS auf die einzelnen Eingänge der Ringoszillatoren 32, 33, 34 durch eine Anzahl logischer XOR-Gatter xor1, xor2, ... xorL erreicht. Der jeweilige Eingang, an dem das Paritätssignal PS anliegt, soll als externer Paritätseingang 36, 37, 38 bezeichnet werden.

Wichtig ist zu bemerken, dass nicht für alle Wert-Kombinationen der Parameter L, K1, ..., KL eine Schwingung dieser Schaltung zustande kommt, wie das Beispiel in 2 für L = 3, K1 = 3, K2 = 5 und K3 = 7 zeigt und wie nachfolgend im Detail beschrieben wird.

In 2a ist der logische Zustand der ausgeschalteten Schaltung dargestellt. 2b zeigt den Zustand der Schaltung nach dem Einschalten (d.h. nach dem Setzen des Start/Stop-Signals auf logisch „1"). Wie zu bemerken ist, befindet sich die Schaltung immer noch in einem statischen (nicht schwingenden) Zustand, da sich alle Ausgänge der NAND-Gatter nandi,1 für i = 1, 2, 3 nicht geändert haben. Dieses Startproblem kann durch Einfügen eines weiteren Inverters inv3,–1 vor dem externen Paritätseingang 47 des XOR-Gatters behoben werden (siehe 3).

Das Paritätssignal PS dieser nun schwingenden Schaltung ist in 4 für verschiedene Zeitintervalle dargestellt. Es ist eindeutig zu sehen, dass die Rückkopplung für eine geeignete (schwingende) Parameterkombination zu einer sehr unregelmäßigen Form des Paritätssignals PS führt. Das gemittelte Paritätssignal PS zeigt eine sehr geringe und konstante Autokorrelation (siehe 5). Im Vergleich zu 21b ist dies eine signifikante Verbesserung, die es erlaubt, die Rate &ngr; der erzeugten Zufallsbits deutlich zu erhöhen.

Um das Startproblem generell zu lösen, und um zusätzliche Jitter-Akkumulation einzuführen, werden vor den XOR-Gattern xori i = 1, ..., L, Ketten von Invertern invi,–j, i = 1 ... L, j = 1, ... Mi eingeführt. Die Länge der einzelnen Ketten M1, ... ML variiert hierbei. Um sicher zu stellen, dass das Start/Stop-Problem nicht auftritt, müssen die Parameter Mi und Ki speziell gewählt werden. Es muss gelten, dass mindestens ein Paar i, j mit i, j, ∊ {1, ... L} × {1, ..., L} existiert, so dass eine der beiden Summen Mi + Ki und Mj + Kj ungerade und die andere gerade ist.

6 zeigt ein generelles Schaltbild mit rückgekoppeltem Paritätssignal PS. Diese Schaltung soll im Folgenden als rückgekoppelter Ring-Oszillatoren RRO bezeichnet werden. Die Signale an den Ausgängen P1 bis PL, der XOR-Gatter xor1 bis xorL, prüfen die Parität ihrer Eingangssignale und werden daher als interne Paritätssignale bezeichnet. Zur Unterscheidung soll das Paritätssignal PS am Ausgang des XOR-Gatters XOR als externes Paritätssignal bezeichnet werden.

7 zeigt eine Instanz des RRO mit den Parametern L = 4, K1 = 1, K2 = 3, K3 = 4, K4 = 5; M1 = 3, M2 = 2, M3 = 1, M4 = 0. Als Kurzschreibweise wird RRO (4; 1, 3, 4, 5; 3, 2, 1, 0) verwendet. Die inneren Paritätssignale sind durch die Konstruktion des RRO sehr unterschiedlich, wie dies die 8 zeigt, und können zur Erzeugung von Zufallsbits benutzt werden.

Durch eine weitere Paritätsprüfung PP der inneren Paritätssignale P1, P2, ... PL, bei der ein weiteres Paritätssignal PP erzeugt wird, wird die Qualität des Zufalls weiter verbessert und kann nach Abtastung als Zufallsbitfolge ZB verwendet werden, wie dies in 9 dargestellt ist. Die Abtastung erfolgt durch ein D-Flip-Flop 85, welches durch ein periodisches Taktsignal CP angesteuert wird. Das Taktsignal CP kann von einem astabilen Multivibrator 87 erzeugt werden und seine Periode (uniformes Abtastungsintervall) durch einen binären Zähler 86 bestimmt werden. Um zufällige, nicht uniforme Abtastintervalle zu erhalten, kann der astabile Multivibrator 87 durch einen RRO ersetzt werden. In 10 ist ein Zufallzahlengenerator mit der RRO-Instanz RRO (4; 1, 3, 4, 5; 3, 2, 1, 0) mit uniformer Abtastung dargestellt. Statistische Tests dieses Zufallszahlengenerators haben eine geringe Ungleichverteilung (Bias) und eine kleine Korrelation der Bits gezeigt.

Um diese zu beseitigen, wurden mehrere RROs durch eine weitere (Super-)Paritätsprüfung SP gekoppelt. Diese Kopplung kann auf verschiedene Weise durchgeführt werden. In 11 erfolgt die uniforme Abtastung nach der Paritätsprüfung PP, wohingegen in 12 die einzelnen RROs vor der (Super)Paritätsprüfung SP abgetastet werden. Da dies asynchron geschieht, muss, um Zufallsbits gleicher Dauer zu erhalten, das Superparitätssignal SP nochmals abgetastet werden. Um dies zu vermeiden kann die Abtastung auch synchron durchgeführt werden, wie in 13 gezeigt wird.

Oft zeigt sich in der Praxis ein kleines aber immer noch störendes Bias. Dementsprechend wird eine Zufallsbitfolge erzeugt, die nicht gut genug ist. Auch andere elektronisch realisierte TRNGs besitzen oft diesen Mangel, der meistens durch die unangepassten Arbeitspunkte der benutzten aktiven Halbleiterkomponenten bedingt ist. Um dieses Restbias zu neutralisieren, werden in bisheriger Praxis verschiedene deterministische Nachbearbeitungen nach der Abtastung (auf digitaler Ebene) durchgeführt, wie z.B. die oft benutzte von Neuman-Methode. Alle diese Algorithmen vermindern die Rate der erzeugten Zufallsbits wesentlich.

Dennoch, bei rückgekoppelten Ringoszillatoren RRO kann dieses Restbias schon vor der Abtastung neutralisiert werden, wenn an den Ausgängen P1, P2, ....., PL der Ringoszillatoren RRO (siehe 22) binäre Zähler 881, 882, ... 88L der Länge Z (hier mit einer Anzahl Z JK-Flip-Flops JK1, JK2 ... JKZ) angeschlossen werden. Die Ausgänge dieser Zähler 881, 882, ... 88L werden an die Eingänge des XOR-Gatters, welches weitere Paritätssignal PP liefert, angeschlossen (22). Durch Zählen der Signalübergänge zwischen beiden Signalzuständen (Hoch und Niedrig mit ungleicher Dauer) erhält man neue (längere) Signalzustände. Diese neuen Signalzustände sind einander dauermäßig ähnlicher, als die Signalzustände des ursprünglichen Signals. Je größer die Anzahl Z ist, desto bessere Ausgleichungen der Signalzustandsdauern kann man erreichen und damit das Restbias auf beliebig kleine Werte unterdrücken. Schon bei Z = 1 erreicht man gute Ergebnisse.

1
Zufallsquelle
2
Wertermittlung
3
Zufalls-Bit-Erzeugung
4
algorithmische Nachbearbeitung/Zufallsextraktion
5
Zufalls-Bit-Ausgabe
6
physikalische Umgebung
8
Ringoszillator
9
Ringoszillator mit Steuereingang
10
Ringoszillator
11
Eingangssignal
12
Ausgangssignal
13
Signaleinhüllende
14
Signalverlauf an Leitungspunkt A'
15
Hüllkurve
17
Ringoszillator
18
Ringoszillator
19
Ringoszillator
20
Ringoszillator
21
Ringoszillator
22
Ringoszillator
24
Ringoszillator
25
Ringoszillator
27
erstes Eingangssignal des XOR-Gatters
28
zweites Eingangssignal des XOR-Gatters
29
Paritätssignal
30
Einhüllende des gemittelten Paritätssignals
32
Ringoszillator
33
Ringoszillator
34
Ringoszillator
36
externer Paritätseingang
37
externer Paritätseingang
38
externer Paritätseingang
41
Ringoszillator
42
Ringoszillator
43
Ringoszillator
45
externer Paritätseingang
46
externer Paritätseingang
47
externer Paritätseingang
47°
externer Paritätseingang
71
Ringoszillator
72
Ringoszillator
73
Ringoszillator
81
Ringoszillator
82
Ringoszillator
83
Ringoszillator
84
Ringoszillator
85
D-Flip-Flop
851
D-Flip-Flop
86
binärer Zähler
861
binärer Zähler
87
astabiler Multivibrator
871
astabiler Multivibrator
881
binärer Zähler
A
Leitungspunkt
B
Leitungspunkt
C
Leitungspunkt
A'
Leitungspunkt
DES
Data Encryption Standard
f
Frequenz
inv
Inverter
inv1
Inverter/NOT-Gatter
inv2
Inverter/NOT-Gatter
invk
Inverter/NOT-Gatter
JK1
JK-Flip-Flop
JK2
JK-Flip-Flop
JKZ
JK-Flip-Flop
K
Anzahl der Gatter
K1
Anzahl der Gatter
K1
Anzahl der Gatter
K2
Anzahl der Gatter
K3
Anzahl der Gatter
KL
Anzahl der Gatter
L
Anzahl der Ringoszillatoren
M
Anzahl der Gatter
M1
Anzahl der Gatter
M2
Anzahl der Gatter
M3
Anzahl der Gatter
M4
Anzahl der Gatter
ML
Anzahl der Gatter
N
Anzahl der Ringoszillatoren
nand1
NAND-Gatter
nand2
P
Periode
P1
internes Paritätssignal
P2
internes Paritätssignal
PL
internes Paritätssignal
PRNG
deterministischer Zufallsgenerator
PS
externes Paritätssignal
RRO
rückgekoppelte Ringoszillatoren
S
Leitungspunkt
SP
Superparitätssignal
Start/Stop
Steuereingang
t
Zeit
t1
Zeitpunkt
T
Laufzeit
TRNG
physikalischer Zufallsgenerator
U
Spannung
Ue
Eingangsspannung
Ua
Ausgangsspannung
xor
Exklusiv ODER -/XOR-Gatter mit logisch „1" am Ausgang, wenn ungerade Anzahl der Eingänge auf logisch „1"
xor1
Exklusiv ODER -/XOR-Gatter mit logisch „1" am Ausgang, wenn ungerade Anzahl der Eingänge auf logisch „1"
xor2
Exklusiv ODER -/XOR-Gatter mit logisch „1" am Ausgang, wenn ungerade Anzahl der Eingänge auf logisch „1"
Z
Anzahl
ZB
Zufallsbit
&Dgr;
Differenz
&ngr;
Abtastrate
&ngr;max
maximale Abtastrate
&tgr;
Verzögerungszeit


Anspruch[de]
Verfahren zur Erzeugung von Zufallszahlen bei dem von wenigstens zwei Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) mit jeweils einer ungeraden Anzahl von hintereinandergeschalten Invertern oszillierende digitale Ausgangssignale (A1, A2, ..., AL) gleicher oder unterschiedlicher Periodizität erzeugt werden, wobei ein einen logischen Zustand („0", „1"), darstellendes externes Paritätssignal (PS) erzeugt wird, welches genau dann den logischen Zustand „1" einnimmt, wenn eine ungerade Anzahl von Ausgangssignalen (A1, A2, ..., AL) den logischen Zustand „1" aufweist, und welches ansonsten den logischen Zustand „0" einnimmt, dadurch gekennzeichnet, dass das externe Paritätssignal (PS) auf jeweils einen externen Paritätseingang (36, 37, 38, 45, 46, 47) der jeweiligen Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) rückgekoppelt wird. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zu jedem Ringoszillator (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) jeweils ein einen vorbestimmten logischen Zustand („0", „1") darstellendes internes Paritätssignal (P1, P2, P3, P4 ... PL) erzeugt wird, wenn entweder das Ausgangssignal (A1, A2 .... AL) des jeweiligen Ringoszillators (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) oder das auf den externen Paritätseingang (36, 37, 38, 45, 46, 47) des jeweiligen Ringoszillators (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) rückgekoppelte Signal einen vorgegebenen logischen Zustand („1") einnimmt. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass Signalübergänge der internen Paritätssignale (P1, P2, P3, P4 ... PZ) vor der Paritätssignalerzeugung gezählt werden. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass wenigstens einer der Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) mit Hilfe eines einem entsprechenden Eingang (Start/Stop) des entsprechenden Ringoszillators (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) zugeführten Startsignals („1") zur Oszillation angeregt wird. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass alle Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84), vorzugsweise gleichzeitig, mit Hilfe desselben Startsignals („1") zur Oszillation angeregt werden. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das externe Paritätssignal (PS) vor dessen Rückkopplung auf wenigstens einen der externen Paritätseingänge (47) invertiert wird. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das externe Paritätssignal (PS) vor dessen Rückkopplung auf wenigstens einen der externen Paritätseingänge (47) verzögert wird. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass das externe Paritätssignal (PS) vor dessen Rückkopplung auf unterschiedliche externe Paritätseingänge (36, 37, 38, 45, 46, 47) um unterschiedliche Zeitdauern (&tgr;) verzögert wird. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die Periodizitäten der Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) und die Verzögerungszeitdauern des externen Paritätssignals (PS) an den externen Paritätseingängen (36, 37, 38, 45, 46, 47) der Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) derart gewählt werden, dass die Summe der ein ungeradzahliges Vielfaches (K1, K2, K3, ... KL) einer Verzögerungszeit eines Gatters betragenden Periodizität eines der von einem ersten der Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) erzeugten Ausgangssignals (A1, A2 .... AL) und der ein Vielfaches (M1, M2, M3, ... ML) der Verzögerungszeit eines Gatters betragenden Verzögerungszeitdauer des externen Paritätssignals (PS) an dem externen Paritätseingang (36, 37, 38, 45, 46, 47) des ersten der Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) ein ungeradzahliges Vielfaches der Verzögerungszeit eines Gatters ist und dass die Summe der ein ungeradzahliges Vielfaches (K1, K2, K3, ... KL) der Verzögerungszeit eines Gatters betragenden Periodizität eines der von einem zweiten der Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) erzeugten Ausgangssignals (A1, A2 .... AL) und der ein Vielfaches (M1, M2, M3, ... ML) der Verzögerungszeit eines Gatters betragenden Verzögerungszeitdauer des externen Paritätssignals (PS) an dem externen Paritätseingang (36, 37, 38, 45, 46, 47) des zweiten der Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) ein geradzahliges Vielfaches der Verzögerungszeit eines Gatters ist. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das externe Paritätssignal (PS) zur Erzeugung von Zufallsbits (ZB) mit einer vorgegebenen Rate (&ngr;) abgetastet wird oder dass das weitere Paritätssignal (PP) zur Erzeugung von Zufallsbits (ZB) mit einer vorgegebenen Rate (&ngr;) abgetastet wird. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass mehrere externe, insbesondere abgetastete, Paritätssignale (PS) erzeugt werden und dass ein einen logischen Zustand („0", „1") darstellendes Superparitätssignal (SP) erzeugt wird, welches genau dann den logischen Zustand „1" einnimmt, wenn eine ungerade Anzahl der externen, insbesondere abgetasteten, Paritätssignale (PS) den logischen Zustand „1" aufweist, und welches ansonsten den logischen Zustand „0" einnimmt oder dass mehrere weitere, insbesondere abgetastete, Paritätssignale erzeugt werden und dass ein einen logischen Zustand („0", „1") darstellendes Superparitätssignal (SP) erzeugt wird, welches genau dann den logischen Zustand „1" einnimmt, wenn eine ungerade Anzahl der weiteren, insbesondere abgetasteten, Paritätssignale den logischen Zustand „1" aufweist, und welches ansonsten den logischen Zustand „0" einnimmt. Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass die externen oder die weiteren Paritätssignale (PS) zur Erzeugung von Zufallsbits (ZB) mit einer vorgegebenen Rate (&ngr;) synchron abgetastet werden oder dass das Superparitätssignal (SP) zur Erzeugung von Zufallsbits (ZB) mit einer vorgegebenen Rate (&ngr;) abgetastet wird. Verfahren nach einem der Ansprüche 10 bis 12, dadurch gekennzeichnet, dass die Abtastung in zufälligen, nicht uniformen Abtastintervallen durchgeführt wird, insbesondere dass die Abtastung dann durchgeführt wird, wenn ein nach einem der Verfahren nach den Ansprüchen 1 bis 12 zufällig erzeugtes Zufallsbit (ZB) einen vorbestimmten logischen Zustand („1") einnimmt. Zufallszahlengenerator mit wenigstens zwei Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84), insbesondere aus unabhängig freischwingenden rückgekoppelten Inverterketten mit einer ungeraden Anzahl (K) an hintereinandergeschalteten Invertern (inv1,2, inv2,1, inv3,1, ... invi,j, ... invL,KL), welche oszillierende digitale Ausgangssignale (A1, A2, .... AL) unterschiedlicher Periodizität erzeugen, und mit ersten Paritätssignalerzeugungsmitteln (XOR), welche ein einen vorbestimmten logischen Zustand („0", „1") darstellendes externes Paritätssignal (PS) erzeugen, welches genau dann den logischen Zustand „1" einnimmt, wenn eine ungerade Anzahl der Ausgangssignale (A1, A2 .... AL) den logischen Zustand „1" aufweist, und welches ansonsten den logischen Zustand „0" einnimmt, dadurch gekennzeichnet, dass Rückkoppelmittel (xor1, xor2, xor3, xor4 ... xorL) vorgesehen sind, welche das externe Paritätssignal (PS) auf jeweils einen externen Paritätseingang (36, 37, 38, 45, 46, 47) der jeweiligen Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) rückkoppeln. Zufallszahlengenerator nach Anspruch 14, dadurch gekennzeichnet, dass die ersten Paritätssignalerzeugungsmittel ein XOR-Gatter (XOR) umfassen, an dessen Eingängen die Ausgangssignale (A1, A2, .... AL) anliegen. Zufallszahlengenerator nach einem der Ansprüche 14 oder 15, dadurch gekennzeichnet, dass zweite Paritätssignalerzeugungsmittel (xor1, xor2, xor3, ... xorL) vorgesehen sind, welche zu jedem Ringoszillator (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) jeweils ein einen vorgegebenen logischen Zustand („1") darstellendes internes Paritätssignal (P1, P2, P3, P4 ... PL) erzeugen, welches genau dann den logischen Zustand „1" einnimmt, wenn entweder das Ausgangssignal (A1, A2 .... AL) des jeweiligen Ringoszillators (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) oder das auf den externen Paritätseingang (36, 37, 38, 45, 46, 47) des jeweiligen Ringoszillators (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) rückgekoppelte Signal einen vorgegebenen logischen Zustand („1") einnimmt. Zufallszahlengenerator nach Anspruch 16, dadurch gekennzeichnet, dass die zweiten Paritätssignalerzeugungsmittel XOR-Gatter (xor1, xor2, xor3, ... xorL) mit jeweils einem externen Paritätseingang und einem Ausgangssignal-Eingang umfassen, wobei an dem Paritätseingang ein vom externen Paritätssignal (PS) abgeleitetes Signal und an dem Ausgangssignal-Eingang das jeweilige Ausgangssignal (A1, A2 .... AL) des jeweiligen Ringoszillators (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) anliegt. Zufallszahlengenerator nach Anspruch 17, dadurch gekennzeichnet, dass dritte Paritätssignalerzeugungsmittel vorgesehen sind, welche ein einen logischen Zustand („0", „1") darstellendes weiteres Paritätssignal (WP) erzeugen, welches genau dann den logischen Zustand „1" einnimmt, wenn eine ungerade Anzahl der internen Paritätssignale (P1, P2, P3, P4 ... PL) den logischen Zustand „1" aufweist, und welches ansonsten den logischen Zustand „0" einnimmt. Zufallszahlengenerator nach Anspruch 18, dadurch gekennzeichnet, dass Zählmittel (881, 882, ... 88L) vorgesehen sind, welche Signalübergänge der internen Paritätssignale (P1, P2, P3, ... PL) vor der Paritätssignalerzeugung zählen. Zufallszahlengenerator nach Anspruch 21, dadurch gekennzeichnet, dass die Zählmittel einen Binärzähler (881, 882, ... 88L), insbesondere eine Kette mit Flip-Flops, vorzugsweise JK-Flip-Flops (JK1, JK2, ... JKZ) umfassen. Zufallszahlengenerator nach einem der Ansprüche 15 bis 20, dadurch gekennzeichnet, dass Startmittel vorgesehen sind, welche ein Startsignal („1") erzeugen und einem Eingang (start/stop) von wenigstens einem der Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) zuführen, so dass dieser zur Oszillation angeregt wird. Zufallszahlengenerator nach Anspruch 21, dadurch gekennzeichnet, dass der wenigstens eine der Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) anstelle eines eingangsseitigen Inverters (inv1) ein NAND-Gatter (nand1, nand1,1, nand2,1, nand3,1, ... nandi,1, ... nandL,1) mit dem Eingang (start/stop) zum Zuführen des Startsignals („1") umfasst. Zufallszahlengenerator nach einem der Ansprüche 22 oder 22, dadurch gekennzeichnet, dass die Startmittel derart ausgebildet sind, dass alle Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84), vorzugsweise gleichzeitig, mit Hilfe desselben Startsignals („1") zur Oszillation angeregt werden. Zufallszahlengenerator nach Anspruch 23, dadurch gekennzeichnet, dass alle Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) anstelle eines eingangsseitigen Inverters (inv1) jeweils ein NAND-Gatter (nand1, nand1,1, nand2,1, nand3,1, ... nandi,1, ... nandL,1) mit jeweils einem Eingang (start/stop) umfassen, welche zum Zuführen des Startsignals („1") miteinander verbunden sind. Zufallszahlengenerator nach einem der Ansprüche 14 bis 24, dadurch gekennzeichnet, dass wenigstens einem externen Paritätseingang (47) ein Inverter (inv3,–1, inv1,–M1 .... inv1,–1, ... invL,–ML, ... invL,–1) vorgeschaltet ist, dem das externe Paritätssignal (PS) zugeführt wird. Zufallszahlengenerator nach Anspruch 25, dadurch gekennzeichnet, dass allen externen Paritätseingängen Inverterketten mit einer unterschiedlichen Anzahl (M1, M2, ... ML) an Invertern (inv1,–M1 ... inv1,–1, ... invL,–ML, invL,–1) vorgeschaltet sind, denen das externe Paritätssignal (PS) zugeführt wird. Zufallszahlengenerator nach Anspruch 26, dadurch gekennzeichnet, dass die Summe der ein ungeradzahliges Vielfaches (K1, K2, K3, ... KL) einer Verzögerungszeit eines Gatters betragenden Periodizität eines der von einem ersten der Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) erzeugten Ausgangssignals (A1, A2 .... AL) und der ein Vielfaches (M1, M2, M3, ... ML) der Verzögerungszeit eines Gatters betragenden Verzögerungszeitdauer des externen Paritätssignals (PS) an dem externen Paritätseingang (36, 37, 38, 45, 46, 47) des ersten der Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) ein ungeradzahliges Vielfaches der Verzögerungszeit eines Gatters ist und dass die Summe der ein ungeradzahliges Vielfaches (K1, KZ, K3, ... KL) der Verzögerungszeit eines Gatters betragenden Periodizität eines der von einem zweiten der Ringoszillatoren (32, 33, 34, 41, 42, 43, 71, 72, 73, 81, 82, 83, 84) erzeugten Ausgangssignals (A1, A2 .... AL) und der ein Vielfaches (M1, M2, M3, ... ML) der Verzögerungszeit eines Gatters betragenden Verzögerungszeitdauer des externen Paritätssignals (PS) an dem externen Paritätseingang (36, 37, 38, 45, 46, 47) des zweiten der Ringoszillatoren (32, 33, 34, 41, 42, 43; 71, 72, 73, 81, 82, 83, 84) ein geradzahliges Vielfaches der Verzögerungszeit eines Gatters ist. Zufallszahlengenerator nach einem der Ansprüche 15 bis 27, dadurch gekennzeichnet, dass Abtastmittel vorgesehen sind, welche das externe Paritätssignal (PS) zur Erzeugung von Zufallsbits (ZB) mit einer vorgegebenen Rate (&ngr;) abtasten und/oder dass Abtastmittel vorgesehen sind, welche das weitere Paritätssignal (PP) zur Erzeugung von Zufallsbits (ZB) mit einer vorgegebenen Rate (&ngr;) abtasten. Zufallszahlengenerator nach einem der Ansprüche 15 bis 28, dadurch gekennzeichnet, dass mehrere Zufallszahlengeneratoren nach einem der Ansprüche 15 bis 29 vorgesehen sind, welche externe, insbesondere abgetastete, Paritätssignale (PS) erzeugen und dass Superparitätssignalerzeugungsmittel vorgesehen sind, welche ein einen logischen Zustand („0", „1") darstellendes Superparitätssignal (SP) erzeugen, welches genau dann den logischen Zustand „1" einnimmt, wenn eine ungerade Anzahl der externen, insbesondere abgetasteten, Paritätssignale (PS) den logischen Zustand „1" aufweist, und welches ansonsten den logischen Zustand „0" einnimmt und/oder dass mehrere Zufallszahlengeneratoren nach einem der Ansprüche 15 bis 29 vorgesehen sind, welche weitere, insbesondere abgetastete, Paritätssignale (PP) erzeugen und dass Superparitätssignalerzeugungsmittel vorgesehen sind, welche ein einen logischen Zustand („0", „1") darstellendes Superparitätssignal (SP) erzeugen, welches genau dann den logischen Zustand „1" einnimmt, wenn eine ungerade Anzahl der weiteren, insbesondere abgetasteten, Paritätssignale (PP) den logischen Zustand „1" aufweist, und welches ansonsten den logischen Zustand „0" einnimmt. Zufallszahlengenerator nach Anspruch 29, dadurch gekennzeichnet, dass Abtastmittel vorgesehen sind, welche die externen Paritätssignale (PS) oder die weiteren Paritätssignale (PP) zur Erzeugung von Zufallsbits (ZB) mit einer vorgegebenen Rate (&ngr;) synchron abtasten und/oder dass Abtastmittel vorgesehen sind, welche das Superparitätssignal (SP) zur Erzeugung von Zufallsbits (ZB) mit einer vorgegebenen Rate (&ngr;) abtasten. Zufallszahlengenerator nach einem der Ansprüche 29 bis 30, dadurch gekennzeichnet, dass die Abtastmittel eingerichtet sind, eine Abtastung in zufälligen, nicht uniformen Abtastintervallen durchzuführen und insbesondere dann eine Abtastung vorzunehmen, wenn ein von einem der Zufallsgeneratoren nach den Ansprüchen 15 bis 31 zufällig erzeugtes Zufallsbit (ZB) einen vorbestimmten logischen Zustand („1") einnimmt. Zufallszahlengenerator nach einem der Ansprüche 29 bis 31, dadurch gekennzeichnet, dass die Abtastmittel ein D-Flip-Flop (881, 882, ... 88L) umfassen, welches in einem Takt (CP) von einem Taktgeber, insbesondere von einem astabilen Multivibrator (87) oder von einem rückgekoppelten Ringoszillator (RRO), angesteuert wird.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com