Comentários sobre a segurança do protocolo híbrido de autenticação quântica de mensagens clássicas

Transcrição

1 WECIQ Artigos Comentários sobre a segurança do protocolo híbrido de autenticação quântica de mensagens clássicas Manoel S. S. Azevedo 1, Rex A. C. Medeiros 1, Raimundo C. S. Freire 1, Francisco M. de Assis 1 1 Departamento de Engenharia Elétrica- Universidade Federal de Campina Grande (UFCG) Av. Aprígio Veloso, 882, Bodocongó Campina Grande PB Brazil {mazevedo,rex,freire,fmarcos}@dee.ufcg.edu.br Abstract. In 1982 Brassard [Brassard 1982] introduced message authentication code (MAC) based on only one hash function and a pseudo-random sequence generator. For each message first an authentication tag is created with application of the hash function and after the tag created is XORed with the pseudo-random sequence. The pseudorandom generator has its security based on the hardness of number theoretic problems like factoring Blum numbers or solving discrete logarithms. In his original paper Brassard suggested the use of the Blum-Micali pseudo-random sequence generator. Clearly the security of the authentication algorithm depends on the hardness of the mentioned problems. However, the advent of quantum computation offers a serious menaces to this because it is shown that such class of problem can be polynomially solved by quantum computers [Jozsa 2001]. In [Medeiros & Assis 2004] Medeiros shown that if the authentication tag was quantumly encoded with help of a Blum-Micali pseudo-random sequence generator, the security of the Brassard scheme is hold. In this article we remark by a simple argument that the security is the same if a Blum-Blum-Shub sequence generator is employed in place of the Blum-Micali one and discuss on the security of the Medeiros s scheme under quantum attacks. Resumo. Em 1982 Brassard [Brassard 1982] introduziu o código de autenticação de mensagens(mac) baseado em uma única função hash e um gerador de sequências pseudo-aleatórias. Para cada primeira mensagem, uma etiqueta de autenticação é criada com aplicação de uma função hash e depois da etiqueta criada é feita a operação XOR com a seqüência pseudo-aleatória. O gerador de sequências pseudo-aleatórias tem sua segurança baseada na dificuldade do problema da teoria dos números, bem como, a fatoração dos números de Blum ou a solução dos logaritmos discretos. Em seu artigo original, Brassard sugere o uso do gerador de seqüências pseudo-aleatórias de Blum-Micali. Claramente, a segurança do algoritmo de autenticação depende da dificuldade dos problemas mencionados. Outrossim, o advento da computação quântica oferece sérias ameaças a isto, porque é provado que tais classes de problemas podem ser resolvidos em tempo polinomial pelos computadores quânticos [Jozsa 2001]. Em [Medeiros & Assis 2004] Medeiros mostra que a etiqueta de autentica ção era codificada quanticamente com ajuda do gerador de seqüências pseudo-aleatório de Blum- Micali, a segurança do esquema de Brassard é incondicional. Neste artigo, é observado por um simples argumento que a segurança do esquema é a mesma se o gerador de seqüências Blum-Micali for substituído pelo gerador Blum-Blum-Shub e discute-se sobre a segurança do esquema de Medeiros quanto aos ataques quânticos. 245

2 1. Introdução Em 1982 Brassard [Brassard 1982] propôs uma técnica para autenticação de mensagens que usa uma chave curta K = (x 0,h) em que x 0 é uma semente para o gerador de seqüências pseudo-aleatórias (PRBG) e h sendo uma função hash universal 2. A idéia principal do protocolo de Brassard é que se criando uma pseudo etiqueta de autenticação de uma via, a(m,n) = h(m) x 0 (n), em que m é a n-ésima mensagem transmitida e x 0 (n) é um bloco de bits da seqüência pseudo-aleatória com o mesmo comprimento de h(m), a segurança da técnica é garantida pela segurança do PRBG. Em seu artigo original, Brassard sugeriu empregar o PRBG de Blum-Micali (BM). A maioria dos PRBGs têm sua segurança baseada no problema da teoria dos números que são conhecidos como computacionalmente difíceis. Este é o caso da fatoração de números de Blum (definidos abaixo) e o caso do cálculo do logaritmo discreto. No ambiente clássico, com a indisponibilidade da computação quântica, a suposição pode ser aceita [Bennet & Brassard 1984]. Entretanto, se um invasor tiver domínio do suposto poder da computação quântica, ela não será mais válida por causa do problema da teoria dos números que são demonstrados como solúveis em tempo polinomial pelo computador quântico [Jozsa 2001, Stallings 2005]. Em outra limitação do esquema de autenticação de Brassard no caso de Eva com poder da computação quântica, Medeiros [Medeiros & Assis 2004] propôs criar uma seqüência pseudo-aleatória (com semente y 0 ) do espaço bi-dimensional de Hilbert para codificar quanticamente a etiqueta de autenticação clássica a(m, n) (será denominado aqui de MA4 este novo procedimento). O esquema é mostrado esquematicamente na Figura 1. Intuitivamente, por causa da transmissão codificada da etiqueta numa base quântica não-ortogonal o atacante pode danificar bits o bastante para determinar a semente y 0 do segundo PRBG. Neste artigo o MA4 é modificado com a substituição do PRBG BM pelo PRBG BBS. A vantagem da chave do BBS sobre o BM é que ele gera mais bits por iteração [Stallings 2005]. A principal contribuição deste artigo é mostrar que a segurança permanece com a substituição do gerador de bits PN. Durante todo o artigo usaremos esta notação: ψ, ψ vetores (ket, respec. bra) υ ω Produto interno entre os vetores υ e ω. υ ω Produto externo entre os vetores υ e ω. ρ Operador de Densidade. δ ij, Função que assume o valor 1, e somente se, i=j, outrossim assume o valor 0. A,Conjugado Hermitinano ou Matriz adjunta A. I, Matriz Identidade. ψ n,produto tensorial n vezes do estado ψ. POVM, Medida de valor-operador positivo. PRS(B)G, Gerado de Seqüência de bits Pseudo aleatórias. s R S indica que s é escolhida uniformemente de forma aleatória do conjunto S. N é o inteiro de Blum, i.e., N = pq, em que p, q são primos, p q 3 mod 4. QR p, Conjunto de residuo quadrático mod p. QNR p, Conjunto dos não-residuos quadráticos mod p. Z n(+1), Conjunto dos inteiros com o símbolos de Jacob +1 mod N. (0, N/2) = {1, 2,..., N/2 } 246

3 l i (y) denota o i-ésimo bit significativo y, i = 1, 2,.. E N (y) = y 2 modn, é a função absoluta de Rabim [Sidorenko & Schoenmakers 2005, pp.356] x 0 m y 0 x 0 BBS y ( n) 0 m, BBS ( n) FQ a( n ) h h ( m ) Alice CQ C BBS: Blum-Blum-Shub Generator FQ: Quantum source CQ: Quantum channel y0 BBS y0 x 0 ( n ) x 0 BBS m B h ( n) a B a B h( m ) B C: Insecure channel ( m, n ) ( m, n ) Bob Figure 1. diagrama em blocos de autenticação híbrido quântico de mensagens clássicas. Note o uso de duas chaves secretas, y 0 e x 0. Eva deseja encontrar y 0 dos dados corrompidos obtidos através de um canal quantico. O artigo é organizado como segue. A equivalência em termos da segurança entre os geradores peudo-aleatórios BM e o BBS é revisada na próxima seção. Na seção III descreve-se o protocolo de autenticação com substituição do BM PRBG pelo BBS PRG. Na seção IV, a análise da segurança do protocolo é apresentada e finalmente na seção V conclui-se o artigo. 2. Comparação entre os geradores seqüênciais Blum-Micali e Blum-Blum-Shub Uma importante contrariedade relatada em alguns geradores de números aleatórios é que esta ineficiência no único senso de bits pseudo-aleatórios é obtida por multiplicação modular. Se n é o comprimento da semente (em bits), implica que n 2 passos algorítmos são requeridos. Na prática, geradores de números pseudo-aleatórios geram n bits por multiplicação e nesse contexto Vazirani et all [Vazirani & Vazirani 2000] mostrou que um algorítmo baseado em resíduo quadrático, o gerador pseudo-aleatório de bits Blum-Blum-Shub (PRBG BBS) permite gerar O log log n bits pseudo-aleatórios seguros por multiplicação modular. Eles também mostram que inverter como aquele algoritmo (encontrado fora da semente ) é tão difícil quanto fatorar números de Blum. Para completar será apresentado abaixo os pseudo-códigos do algoritmo BBS PRBG [Sidorenko & Schoenmakers 2005]. Algoritimo - Gerador pseudo-aleatório BBS Entrada: x 0 R Λ N ; k, j são inteiros positivos. Saída: Uma seqüência binária {b 1 b 2 b 3... b M } de comprimento M = jk. Inicialização: x 1 := x 0 ; Iteração: para i = 1,...,k faça para r = 1,...,j faça 247

4 b (i 1)j+r = l j r+1 (x i )x i+1 = E N (x i ) (1) É reiterado que o algoritmo acima gera j bits de saída PN por iteração, iteragindo a função absoluta Rabin k vezes gerando j bits em cada iteração. Exemplo: Dados, N = 133, x 0 = 4, r = 1,..., 3, i = 1,..., 4, teremos: i = 1 r = 1 b 1 = l 3 (x 1 ) = 0 r = 2 b 2 = l 2 (x 1 ) = 0 r = 3 b 3 = l 1 (x 1 ) = 1 i = 3 r = 1 b 7 = l 3 (x 1 ) = 1 r = 2 b 8 = l 2 (x 1 ) = 1 r = 3 b 9 = l 1 (x 1 ) = 1 i = 2 r = 1 b 4 = l 3 (x 2 ) = 0 r = 2 b 5 = l 2 (x 2 ) = 0 r = 3 b 6 = l 1 (x 2 ) = 0 i = 4 r = 1 b 10 = l 3 (x 2 ) = 0 r = 2 b 11 = l 2 (x 2 ) = 1 r = 3 b 12 = l 1 (x 2 ) = 1 Assim, continuando até a i = 4 iteração, obtêm-se a seqüência: {b 1 b 2 b 3...b 12 } = Em [Sidorneko & Schoenmakers 2005] Sidorenko et al. mostrou que uma invasão bem sucedida no gerador BBS é equivalente a uma invasão bem sucedida no problema de fatoração de um número Blum. Conseqüentemente, num contexto clássico, empregar um gerador Blum-Micali ou BBS são equivalentes sob o ponto de vista da segurança computacional. No mesmo artigo isto é considerado um ajuste mais realista onde o tempo de execução é incluido na definição de segurança de um algoritmo. Por causa da clareza é repetida a seguinte noção já conhecida de testes estatistícos para seqüências pseudoaleatórias. Considerar um algoritmo probabilístico A (testes estatísticos) como aqueles dados em uma seqüência binária b = b 1,...,b M S {0, 1} M resulta num bit A(b) {0, 1}. Definição 1 Um PRBG passa em todos os testes estatísticos A com tolerância ǫ > 0 se Pr (A(b) = 1 b R S) Pr ( A(b) = 1 b R {0, 1} M) < ǫ Caso contrário o teste estatístico A falha com tolerância ǫ. A probabilidade é feita sobre todas as escolhas b e processos aleatórios internos de A.É reinterado que b R {0, 1} M permanece com uma seqüência binária M aleatória confiável. Definição 2 Um gerador pseudo-aleatório é (T A,ǫ) seguro se é aprovado em todos os testes estatísticos em tempo de execução T A com tolerância ǫ. O gerador Blum-Micali [Blum et al. 1983] (BM) é baseado na intratabilidade computacional do problema do logaritmo discreto. Como a propriedade de uma via não permite isso com facilidade a pré-imagem completa x de um valor f(x), para busca secreta de bits individuais x, isto é, que um invasor não obteria informações parciais. Aqui, a noção básica é a de bit com grau de dificuldade ilimitada em computadores clássicos [Medeiros & Assis 2004]. 248

5 y = g x modp em que p é um primo ímpar e g é um gerador de GF(p) e x GF(p). Dado p, g e x, os cálculos de y para x são diretos. No entanto, dado y, g e p para encontrar x, é um problema que apresentam os logaritmos discretos mod p. O gerador BBS [Sidorenko & Schoenmakers 2005] também é baseado na intratabilidade computacional, dada para a equação: y = x 2 modn em que N = p.q, p e q são ambos congruentes 3 módulo 4, isso é reduzido a um clássico problema da busca de um algoritmo eficiente de fatoração que é considerado computacionalmente difícil. Ele é assegurado pelo corolário abaixo, encontrado em [Sidorenko & Schoenmakers 2005]. Corolário 3 Supondo que o gerador pseudo-aleatório BBS é vulnerável contra (T A,ε)- estado de recuperação do ataque A. Então ali existe um algoritmo probabilístico F que fatora o módulo N no tempo esperado T F = 2ε 1 T A + O(ε 1 n 2 M) (2) Reiteramos que o corolário acima estabelece uam equivalência entre o ataque para o gerador pseudo-aleatório BBS para aquele de fatoração de um inteiro Problemas de encontrar a ordem e do subgrupo escondido Sejam x e N inteiros positivos com fatores não comuns e tal que x < N. A ordem de x módulo N é definida como o menor inteiro positivo r, tal que x r 1 mod N. O problema de encontrar a ordem é o de determinar a ordem para os dois inteiros x e N. Este problema é considerado intratável em um computador clássico. Um algoritmo quântico para resolver o problema de encontrar a ordem usando recursos polinomiais foi proposto por Shor [Shor 1997]. Este algoritmo faz uso de um procedimento conhecido como estimação de fase, que consiste em estimar a fase ϕ de uma autovalor e 2πiϕ associado com um autovetor particular u de um operador unitário U. Shor também demonstrou que o problema do subgrupo escondido (HSP) para um grupo abeliano finito G também pode ser resolvido por um computador quântico usando um número de operações que é polinomial em log G. Além disso, ele mostrou que o HSP pode ser reduzido ao problema de encontrar a ordem. O problema da fatoração, logaritmo discreto, de encontrar o período, e muitos outros problemas da teoria dos números são instâncias do problema do subgrupo escondido. O aspecto principal a ser destacado aqui é que, para qualquer um dos problemas a ser resolvido em um computador quântico é necessário ter, explicitamente, os valores dos parâmetros clássicos. Por exemplo, para resolver o problema do logaritmo discreto, faz-se necessário conhecer os inteiros a e b = a s na ordem para construir um operador unitário usado pelo algoritmo de busca da ordem [Jozsa 2001, Chuang 2005]. Pode-se concluir da discussão acima que os PRBGs BM e BBS se equivalem em termos de dificuldade e conseqüentemente se equivalem em termos de segurança clássica. Inspirados em tais equivalências, o gerador BBS é mais eficiente que o 249

6 gerador BM, pois, é capaz de produzir log log(n) bits por cada quadrado modular, enquanto que o gerador BM produz apenas um bit por cada exponenciação modular [Sidorneko & Schoenmakers 2005]. 3. Protocolo híbrido com uso do PRBG BBS O algoritmo aqui estudado é o mesmo proposto por Medeiros [Medeiros & Assis 2004] com somente uma modificação que é a de substituir o PRBG Blum-Micali pelo PRBG Blum-Blum-Shub, podendo o leitor consultar esse artigo para obter maiores detalhes. O protocolo se utiliza de uma outra chave secreta y o, que é uma semente para o mesmo gerador de seqüências pseudo-aleatórias. Quando Alice deseja enviar uma mensagem certificada para Bob, ela realiza todos os passos descritos pelo protocolo de Brassard. Considerando que Alice e Bob compartilham uma chave secreta que consiste em uma função hash particular h H e duas sementes x o e y o. Para a n-ésima mensagem m M a ser enviada, Alice prepara uma etiqueta a(m,n) de k bits, dada pela equação a B (m,n) = h(m B ) x o (n), (3) em que x o (n) = x o [(n 1)k + 1,...,nk]. Alice cria k qubits nas bases Z ou X, dependendo da etiqueta a(m,n) e da seqüência y o (n). Ela envia os qubits através de um canal quântico perfeito. A mensagem é enviada por um canal inseguro, podendo ser clássico ou quântico. Em seguida Bob escolhe as bases (conjuntos POVMs) usadas na medição de acordo com a seqüência pseudo-aleatória y o (n). Como resultado, ele obtém uma seqüência de k bits, a B (m,n). Agora Bob calcula uma etiqueta local a B(m,n), baseado na mensagem recebida e na seqüência x o (n), que é comparada com a B (m,n). Se as etiquetas são idênticas, Bob considera que a mensagem é autêntica, caso contrário, ele a rejeita. A segurança do protocolo é assegurada pelo gerador de seqüências pseudoaleatórias (PRGB), o BBBS, que já foi descrito anteriormente. A descrição mais detalhada do protocolo é vista como segue: considere que Alice e Bob combinem de usar duas bases ortonormais para o espaço de Hilbert de dimensão dois, compartilhando de uma chave secreta que consiste de uma função hash particular h H e duas sementes x o e y o o protocolo para autenticação quântica de mensagens clássicas pode ser resumido como segue: Para a n-ésima mensagem m M, alice gera uma etiqueta dada por a(m,n) Z = { 0, 1} (4) em que X = { +, }, (5) + = e = (6) 250

7 Estas são as mesmas bases ortonormais usadas para criar os quatro estados quânticos no protocolo BB84 [Bennet & Brassard 1984]. Para cada bit de a(m,n), Alice prepara um estado quântico não emaranhado ϑnj, que é baseado no bit correspondente emitido pelo gerador BBS com semente y o. Dessa forma, se o j-ésimo bit de y o (n) é zero, Alice prepara ϑnj usando a base Z da seguinte maneira: ϑ nj = { 0 se o j ésimo bit de a(m,n) é 0 1 se o j ésimo bit de a(m,n) é 1 (7) Analogamente, se o j-ésimo bit de y o (n) é 1, Alice prepara ϑnj usando a base X, em que ϑ nj = { + se o j ésimo bit de a(m,n) é 0 se o j ésimo bit de a(m,n) é 1 (8) Após a geração dos qubits, Alice envia o estado ϑnj k para Bob usando um canal quântico sem ruído. A mensagem m pode ser enviada usando um canal inseguro, seja ele clássico ou quântico. Na recepção, Bob realiza medições POVMs nas bases Z e X, definidas pelos seguintes conjuntos E Z = {E o = 0 0,E 1 = 1 1 } (9) E X = {E + = + +,E = }. (10) Para o j-ésimo qubit ϑ nj recebido, Bob realiza uma medição usando o conjunto E Z ou E X, dependendo se o j-ésimo bit de y o (n) é 0 ou 1, respectivamente. Dessa forma, Bob considera que o j-ésimo bit da etiqueta de Alice é 0 quando ele obtém as saídas E o ou E +. Se a saída for E 1 ou E, Bob considera que o bit j de a(m,n) é 1. Ao final de k medições, Bob dispõe de uma seqüência a B (m,n) de k bits clássicos. Além disso, Bob dispõe também da mensagem recebida, denotada por m B que pode estar modificada ou não. O próximo passo de Bob é calcular uma etiqueta local baseado na função hash e na seqüência gerada pela semente x o, obtendo a B(m,n) = h(m B ) x o (n). Como o canal quâ ntico é perfeito, Bob considera que a mensagem é autêntica se a B (m,n) = a B(m,n). Caso contrário, ele descarta a mensagem recebida. Este esquema é ilustrado na figura 2. A afirmação acima pode ser feita porque no caso em que Eva não interfere na transmissão quântica da etiqueta, Bob obterá na medição a mesma etiqueta enviada por 251

8 Alice, ou seja, a B (m,n) = a(m,n). Isto porque o gerador cuja semente é y o indica em qual das bases Alice deve criar os qubits, ao mesmo tempo em que diz a Bob qual dos conjuntos POVMs ele deve escolher para medi-los. Se a medição é feita sempre na mesma base em que os qubits são criados, Bob sempre interpreta corretamente o bit enviado por Alice. 4. Segurança comentada do protocolo quando o BBS é usado Está claro nesse ponto que a segurança do esquema proposto depende da segurança do gerador BBS. É investigado como Eva faz uso de recursos quânticos para predizer tal gerador. Primeiro, é provado o resultado seguinte relativo ao BBS, em que os parâmetros, p e q são números primos tais que p 3 mod 4 e q 3 mod 4, e x o é uma semente secreta escolhida de Z n, tendo representação de l bits. Lema 4 Sejam b i+1,...,b i+k uma seqüência de bits da seqüência gerada pelo PRBG-BBS. O melhor algoritmo probabilístico A BBS (p,q, b i+1,...,b i+k ) para predizer uma seqüência inteira para trás (e para frente) precisa de pelo menos k = l bits para que Prob[A BBS ((p,q,b i+1,...,b i+k ) = b i ] = 1 (11) Prova: O lema é provado observando que o problema é equivalente ao problema de calcular o bit de paridade, sendo que o último pode ser reduzido ao problema de encontrar a raiz quadrada módulo N. Seja então A RQ (p,q,x i+1 ), o algoritmo capaz de resolver a raiz quadrada de x i mod N em que b i = paridade(x i ) em um computador quântico. O resultado segue por contradição. Suponha que tal algoritmo A BBS (.,.) exista. Então deve existir uma função f(b i+1,...,b i+k ) tal que e x i+1 = f(b i+1,...,b i+k ),k < l (12) x i = A RQ (p,q,x i+1 ) (13) b i = paridade(x i ) (14) Mas tal função não existe, pois, a cardinalidade do domínio é (2 k ) é menor que a cardinalidade do contradomínio que é (2 l ), o que é uma contradição. A seguir são apresentadas algumas justificativas para a segurança do protocolo aqui descrito. 252

9 O lema acima descrito estabelece uma prova da segurança somente contra ataques de medição. São deixadas ao leitor detalhes da prova deste tipo de segurança apresentada em [Medeiros & Assis 2004]. Observa-se que a informação disponível para Eva deve ser menor que aquela contida em uma transmitida, como uma consequência do processo desta aquisição, então se ele/ela não possui o poder da computação quântica (ou equivalente) então o protocolo proposto é computacionalmente seguro pela mesma razão que é relativamente seguro para os computadores clássicos. Considera-se agora que o invasor possui computadores quânticos. Primeiro vale lembrar que a transformação quântica de Fourier é um ingrediente fundamental dos algoritmos do computador quântico dedicados para fatoração, cálculo do logaritmo discreto ou mais geralmente o problema de encontrar o subgrupo escondido. O passo principal desses algoritmos, isto é, fatorização é que estimação de fase com que é implementada com uma inversa da transformada quântica de Fourier. Assume-se também que para qualquer tipo de invasão (isto é, ataques individuais ou coerentes) a seqüência interceptada no canal quântico difere-se da seqüência dos estados quânticos transmitidos através do canal quântico. Isto é, há uma probabilidade p > 0 que o estado emaranhado e o reenvio difere-se do estado atual original transmitido. Neste ponto é claro que Eva irá introduzir um algoritmo com uma seqüência corrompida. É conjecturado que a suscetibilidade do algoritmo de estimação de fase concernido para entrada de desvio funcionará para proteger a integridade do protocolo. 5. Conclusão Neste artigo foi demonstrado que a substituição do PRBG BM pelo PRBG BBS no protocolo MA4 não altera sua segurança e alguns comentários na segurança foram executados. Em uma análise de segurança neste caso em que Eva teria o poder da computação quântica baseada na suscetibilidade do algoritmo de estimação de fase concernido para entrada de desvio, funcionará para proteger a integridade do protocolo. Como proposta para trabalhos futuros, apresenta-se o seguinte problema: fazer uma análise sobre ataques coletivos e uma maior precisão na prova de segurança diante da disponibilidade da computação quântica. References Bennett, C. and Brassard, G. (1984). Quantum cryptography:public-key distribution and coin tossing. In procedings of IEEE international conference on Computers, systems, and Signal Procecssing, Bangalore. Blum, L., Blum, M., and Shub, M. (1983). Comparison of two pseudo-random number generators. Proc. CRYPTO 82, page 25. Brassard, G. (1982). On computationally secure authentication tags requiring short secret shared keys. Proceedings of Crypto 82. Jozsa, R. (2001). Quantum factoring and discrete logarithms and the hidden subgroup problem. Computing in Science and Engineering. 253

10 Medeiros, R. A. C. and Assis, F. M. (2004). A hybrid protocol for quantum authentication of classical messages. In: Proceedings of the 11th International Conference on Telecommunications ICT, 1. Nielsen, M. A. and Chuang, I. L. (2005). Computação Quântica e Informação Quântica, volume Unico. 03 / 07 / 2005, 1 edition. Shor, P. (1997). Polynomial time algorithms for prime factorisation and discrete logarithms on a quantum computer. SIAM J. Computing. Sidorenko, A. and Schoenmakers, B. (2005). State recovery attacks on pseudorandom generators. 10th IMA International Conference, page 32. Sidorenko, A. and Shoenmarkers, B. (2005). Concrete security of the blum-blum-shub pseudorandom generator. 10th IMA International Conference, page 17. Stallings, W. (2005). Cryptography and Network Security, volume 1. Prentice Hall; 4 edition. Vazirani, U.and Vazirani, V. (2000). Efficient and secure pseudo-random number generation. Advances in Cryptology - CRYPTO. 254