<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>How does mixing explicitly untrusted data into the csprng improve randomness or trust in it?<br><br>randy, please excuse tiPos</div><div><br>On May 30, 2015, at 09:15, Warren Kumari <<a href="mailto:warren@kumari.net">warren@kumari.net</a>> wrote:<br><br></div><blockquote type="cite"><div><br><br>On Friday, May 29, 2015, Jacob <<a href="mailto:jacob@edamaker.com">jacob@edamaker.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Also, realizing that I don't have any of the credentials required to<br>
enter into the sanctum sanctorum of the crypto world, and I know<br>
that this is bordering on heresy, but since M4 has a TRNG, will you<br>
trust it? If yes, what benefit is provided by the noise board, if<br>
any? If not, why would you trust the M4 to manage your external TRNG<br>
and FPGA<br>
</blockquote>
<br>
As others have stated. No, we wont replace our TRNG with the one inside<br>
the M4. And note that the noise board is only one of our noise sources.<br>
<br>
If the TRNG inside is the same design as in the STM32L06, based on<br>
testing with Dieharder it generates good random numbers. But it is a<br>
black box. ST does not provide any real information on what the<br>
underlying physical process is, how it is used to drive a CSPRNG. And of<br>
course to real insight into what is actually on the chip.<br>
<br>
We could use the TRNG in the M4 as an entropy source to feed the TRNG<br>
inside the FPGA (basically a FIFO into which SW could write words<br>
consumed during entropy mixing). But replacing the TRNG, no.<br>
</blockquote>
<br>
I brought up the M4 TRNG issue with a view on any possible subversion of its internal design, but I get from you that the issue on hand is much more basic - no knowledge what's in it and how it operates - and thus can't be fully embraced as a sole actor. Good point.<br>
<br>
Jacob</blockquote><div><br></div><div>Sure, not as a sole actor, but what about as an additional source, mixed in with the others? I'm not sure what the latest views on this are - if an attacker could predict all of the output of the M4 TRNG do they have any advantage over a design that just doesn't mix this in? Intuitively it feels like they don't (just pretend that the extra RNG outputs a stream of 0), but I seem to remember someone knowledgeable saying that N sources of entropy is better than N + 1, where the attacker controlls the +1... </div><div>Makes no sense, but then again that's how I often feel when talking about random :-</div><div>W<span></span></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
<br>
_______________________________________________<br>
Tech mailing list<br>
<a>Tech@cryptech.is</a><br>
<a href="https://lists.cryptech.is/listinfo/tech" target="_blank">https://lists.cryptech.is/listinfo/tech</a><br>
</blockquote><br><br>-- <br>I don't think the execution is relevant when it was obviously a bad idea in the first place.<br>This is like putting rabid weasels in your pants, and later expressing regret at having chosen those particular rabid weasels and that pair of pants.<br>   ---maf<br>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Tech mailing list</span><br><span><a href="mailto:Tech@cryptech.is">Tech@cryptech.is</a></span><br><span><a href="https://lists.cryptech.is/listinfo/tech">https://lists.cryptech.is/listinfo/tech</a></span><br></div></blockquote></body></html>