国密随机数生成质量：部分实现中的随机数源可靠性不足

国密随机数生成质量：部分实现随机数源可靠性不足深度分析如下。

  一、问题定义与国密标准依据

国密随机数安全的核心规范：

1.  GM/T  0103-2021《随机数发生器总体框架》：明确RNG由熵源、熵评估、后处理、健康检测四部分组成，熵源是随机性根基，最小熵需≥0.8bit/bit；

2.  GM/T  0105-2021《软件随机数发生器设计指南》：强制软件DRBG必须多源熵池、实时熵评估、周期性重播种；

3.  GM/T  0062-2018《密码产品随机数检测要求》：硬件TRNG需通过28项随机性检测，持续监控熵源退化、环境干扰导致熵值暴跌。

核心问题：大量自研、轻量化、嵌入式国密实现，熵源采集单一、熵估值不足、无实时健康自检、缺少多源融合，导致随机数可预测、熵耗尽、可被外部操控，直接摧毁SM2/SM4/ZUC等国密算法安全根基。

  二、随机数源可靠性不足的典型成因（工程高频缺陷）

  （一）软件实现类熵源缺陷（Web、APP、嵌入式MCU最普遍）

1.  仅依赖低质量单一系统熵源，无多源融合

          常见错误：Linux只取`/dev/urandom`、Windows仅`CryptGenRandom`、裸机MCU只用系统定时器；

          风险：冷启动熵池为空、长时间运行熵耗尽；嵌入式设备上电种子固定，每次生成相同随机序列，SM2私钥、会话密钥直接可预测；

          密评踩坑点：商用密码测评明确禁止仅依赖系统伪熵，必须叠加中断抖动、内存访问时延、外设噪声等多物理熵，经SM3聚合入熵池。

2.  自研简易PRNG替代合规DRBG，无熵校验

        厂商为轻量化手写线性同余、简单移位随机函数，未实现国密规范SM3-HMAC-DRBG；不做最小熵评估，NIST/GM/T  0005随机性检测直接失败，熵值远低于0.8bit/bit阈值。

        典型漏洞：RustCrypto国密库CVE-2026-22698，SM2加密临时随机数仅采集32bit熵，安全强度暴跌至16位，密文可暴力解密。

3.  DRBG初始化与重播种逻辑缺失

          冷启动无足量初始熵注入，使用固定默认种子；

          长时间高频加密不主动补充熵，熵池枯竭后输出循环序列；

          国密ENGINE适配缺陷：GMSSL等国密引擎未实现`RAND_status`熵状态检测接口，上层无法判断随机数是否安全，持续输出低熵随机数。

  （二）硬件TRNG熵源缺陷（安全芯片、物联网模组、量子随机模块）

1.  单物理熵源易受环境干扰，熵值断崖下跌

        主流片上振荡器ROSC、雪崩噪声源对电压纹波、温度、电磁辐射极度敏感：±5%电源波动可将最小熵从7.92bit/byte跌至0.11bit/byte，接近完全可预测；常规静态随机性检测无法发现动态干扰下熵退化问题。

        量子随机数模块同样存在该漏洞：电源注入微小纹波即可操控光子噪声输出，但离线检测仍显示“随机合格”，存在检测盲区。

2.  缺少实时健康自检与熵退化告警

        低成本安全芯片省略GM/T  0103强制的在线健康测试（扑克检测、重复采样校验）；熵源失效后持续输出弱随机数，无阻断、无告警，设备静默高危运行。

3.  熵源后处理未使用国密SM3，采用外部哈希

        部分硬件RNG后处理复用SHA-256，不符合国密产品自主可控要求；且未做多熵源异或融合，单点熵源故障直接全盘失效。

  （三）开发认知与合规落地误区

1.  混淆**伪随机PRNG**与**密码安全CSPRNG/TRNG**，直接使用编程语言标准`rand()`、`Random()`生成SM2签名临时数；

2.  认为“通过离线随机性测试即安全”，忽略动态环境攻击、熵耗尽、上电种子固定等工程场景风险；

3.  轻量化场景（车规TBOX、智能卡、工业PLC）削减熵采集模块，仅保留最简随机逻辑，某车企TBOX实测仅32bit有效熵，导致远程控制指令可伪造。

  三、安全危害（国密业务直接影响）

1.  SM2签名/加密完全失效

        SM2安全完全依赖临时随机数k；熵不足导致k取值空间极小，攻击者通过少量密文/签名即可暴力恢复k，反推私钥，伪造签名、解密敏感报文（支付、证书、车载指令）。

2.  SM4会话密钥、ZUC流密钥可预测

        低熵随机生成的会话密钥易被暴力枚举，传输数据、本地存储明文存在批量泄露风险。

3.  **熵耗尽拒绝服务+持续性后门**

        高并发加密场景熵池耗尽后，RNG输出循环固定序列，攻击者持续监听即可批量捕获密钥；电源/温度侧信道可长期操控随机数输出，形成持久可控漏洞。

4.  密评、商用密码认证直接不通过

        随机数熵源不合规是密评最高频驳回项，金融、政务、电力等关键系统无法上线商用密码服务。

四、国密标准合规整改方案（分软件/硬件场景）

  （一）软件随机数修复（GM/T  0105强制落地）

1.  多源熵池融合采集

        基础熵源组合：系统硬件真随机接口（如RDRAND、片上TRNG）+  时钟中断抖动  +  内存访问时延  +  用户交互/外设采样；全部原始熵经SM3哈希压缩聚合进熵池。

2.  标准化国密DRBG实现

        统一采用**HMAC-SM3  DRBG**作为密码安全随机数生成器，禁止自研简易随机算法；初始化注入≥128bit最小熵，每生成1024次随机数强制重播种补充新熵。

3.  增加熵状态健康检测

        实现`RAND_status`接口，实时评估熵池余量；熵余量低于阈值时阻塞密钥生成并抛出告警，拒绝输出低熵随机数。

4.  国密引擎正确加载逻辑

        GMSSL/OpenSSL国密引擎加载后显式指定默认随机源：`ENGINE_set_default_RAND()`，避免  fallback  至系统不安全伪随机接口。

  （二）硬件TRNG安全加固（GM/T  0103、GM/T  0062）

1.  多路独立物理熵源冗余设计

        至少两路不同原理熵源（ROSC热噪声+雪崩噪声）输出异或融合，单一路受干扰不影响整体熵值；量子随机数设备叠加硬件噪声辅助熵源抵御电源注入攻击。

2.  内置在线实时健康自检

        硬件实时执行扑克检测、重复序列校验；熵值低于0.8bit/bit时自动切换冗余熵源，无冗余则锁死随机输出并触发硬件告警。

3.  国密原生后处理链路

        熵原始数据后处理仅使用SM3，不依赖国际哈希算法；输出前再次经SM3搅乱消除物理熵源偏置。

4.  硬件抗干扰防护

        电源增加低纹波滤波、电磁屏蔽；芯片内置电压/温度监控，环境异常时提升熵采集采样频率补偿熵损失。

  （三）通用检测与上线管控

1.  上线前完成GM/T  0005全部28项随机性检测，同时执行**动态压力熵耗尽测试**、高低温/电压扰动测试；

2.  密评材料提供熵源设计文档、最小熵测试报告、健康自检逻辑说明；

3.  关键行业（金融、车联网、政务）优先选用已通过国密检测中心认证的硬件安全芯片/量子随机数模块。

五、总结

随机数熵源是国密算法安全的底层基石，“算法合规≠随机数合规”。当前大量实现的核心短板在于：熵源单一冗余不足、缺少实时熵评估与健康检测、轻量化改造中随意删减随机安全逻辑。

整改核心思路：多源物理熵采集  +  SM3国密后处理  +  标准化HMAC-SM3  DRBG  +  持续熵监控与冗余防护，同时补齐动态环境下的抗干扰、熵耗尽防护，满足GM/T系列国密标准与商用密码应用安全性评估强制要求，从根源消除随机数可预测、密钥泄露高危漏洞。