<p dir="ltr">On Sep 15, 2015 4:57 AM, "Sturla Molden" <<a href="mailto:sturla.molden@gmail.com">sturla.molden@gmail.com</a>> wrote:<br>
><br>
> On 15/09/15 09:36, Nathaniel Smith wrote:<br>
><br>
>> Obviously the thing the scientists worry about is a *strict* subset of<br>
>> what the cryptographers are worried about. This is why it is silly to<br>
>> worry that a crypto RNG will cause problems for a scientific<br>
>> simulation. The cryptographers take the scientists' real goal -- the<br>
>> correctness of arbitrary programs like e.g. a monte carlo simulation<br>
>> -- *much* more seriously than the scientists themselves do.<br>
><br>
><br>
> No. Cryptographers care about predictability, not the exact distribution. Any distribution can be considered randomness with a given entropy, but not any distribution is uniform. Only the uniform distribution is uniform. That is where our needs fail to meet. Cryptographers damn any RNG that allow the internal state to be reconstructed. Scientists damn any RNG that do not produce the distribution of interest.</p>
<p dir="ltr">No, this is simply wrong. I promise! ("Oh, sorry, this is contradictions...") For the output of a cryptographic RNG, any deviation from the uniform distribution is considered a flaw. (And as you know, given uniform variates you can construct any distribution of interest.) If I know that you're using a coin that usually comes up heads to generate your passwords, then this gives me a head start in guessing your passwords, and that's considered unacceptable.</p>
<p dir="ltr">Or for further evidence, consider: "Scott Fluhrer and David McGrew also showed such attacks which distinguished the keystream of the RC4 from a random stream given a gigabyte of output." --<a href="https://en.m.wikipedia.org/wiki/RC4#Biased_outputs_of_the_RC4"> https://en.m.wikipedia.org/wiki/RC4#Biased_outputs_of_the_RC4</a></p>
<p dir="ltr">This result is listed on wikipedia because the existence of a program that can detect a deviation from perfect uniformity given a gigabyte of samples and an arbitrarily complicated test statistic is considered a publishable security flaw (and RC4 is generally deprecated because of this and related issues -- this is why openbsd's "arc4random" function no longer uses (A)RC4).</p>
<p dir="ltr">-n</p>