TRNG的已知指标是什么？

Question

我想知道用于研究TRNG的随机性(除了NIST测试)的已知指标是什么。

例如，对于PUF，有一些已知的度量标准，如一致性、唯一性、误码率等。

Answer 1

有两份与TRNG有关的共同文件。有美国NIST特别出版的800-90C，随机比特发生器(RBG)构造的建议，和不那么神圣的德国BSI 建议:随机数生成器的功能类。

其中列出了各种各样的随机措施，但它们归结为两个基本指标：-

1. 从长远来看，TRNG产生的下一个部分有50.0%的可能性成为"1“。这一决定是通过测试，如ent，顽固和顽固，TestU01和其他。适当的测试套件通常由输出速率来表示，因为一些TRNG仅以2 2kbps甚至更少的速度运行。每一项测试都由较小的单项测试组成，如计数、运行和频率。50.0%的值自动推断出每个产值是相互独立的。
2. 当TRNG重新启动时，输出序列不会重复。如果你想一想的话，在最一般的情况下，这是包含在(1)上面的。

如果您接受随机是随机的，很明显，任何工作TRNG的输出必须完全独立于内部过程，而不是速度。有些人混淆了熵源和TRNG之间的区别。熵源是产生非确定性(随机但经常是自相关)信号的内部电路。然后对此进行处理，并从TRNG输出独立的均匀分布的字节。此时，我们无法确定字节是如何生成的。它们只是简单的字节。即使对其产出进行最详细的检查，也无法区分任何特定的TRNG。

作为几个度量示例，请参见使用一些自定义测试和死板的在线bet365赌场 ComScire TRNG的测试证书，以及使用diehard的Quantis测试证书。

Answer 2

在密码学中，物理熵源一般重要的一个度量是最小熵:最可能结果的指数(以位为单位)。这取决于熵源的物理特性。只要它超过256个，您就可以通过一个典型的抗预图像散列函数(如SHAKE256，一个调理器)来输入一个示例，并且您将拥有一个有效的、适合用作密码密钥材料的均匀随机字符串。

(有时物理设备被称为TRNG；有时物理设备和条件器(如SHAKE256 )的组合称为TRNG。)

如果你的设备不能同时产生一个有那么多分钟熵的样本，但是它可以产生一系列IID样本，那么你可以将它们连在一起。其结果可能要比256位长得多--即使它在你最喜欢的统计距离度量上是非常不一致的，但对密码学来说最重要的是它的最小熵至少是256位。

NIST对熵源进行各种概率模型的假设，基于样本对参数进行拟合，然后用拟合的参数输出模型的熵值。这些模型非常简单，设计时不知道你的设备，所以它们充其量只是一种检查特别明显的可预测发行版的方法--很明显，工程师甚至不知道你的设备是什么。(更多细节关于“熵测试”是如何工作的。)

从您的设备中计算出的一般度量，在设计时没有参考设备的任何物理模型，在研究系统的安全性方面没有什么价值。你所宣传的最小熵必须从系统物理的一个特定的概率模型中计算出来，才能给出任何有意义的信心。