ISO/IEC 18031:2025 情報技術 — セキ​​ュリティ技術 — ランダムビット生成 | ページ 6

3.1

アルゴリズム

従えば規定の結果が得られる一連のルールを計算するための、明確に指定された数学的プロセス

3.2

後方機密性

以前の ランダム ビット ジェネレーター (RBG) (3.40) の 出力値は、現在または後続 (将来) の出力値の知識から実際の計算量を使用して決定できないことを保証します。

3.3

ビットストリーム

デバイスまたは機構からのビットの継続的な出力

3.4

ビット文字列

1 と 0 の有限シーケンス

3.5

ブロック暗号

暗号化 アルゴリズム (3.1) が 平文のブロックに対して動作して暗号文のブロックを生成するという特性を持つ対称暗号化システム。

注記 1: ISO/IEC 18033-3 で標準化されたブロック暗号には、平文ブロックと暗号文ブロックが同じ長さであるという特性があります。

[出典:ISO/IEC 18033-1:2021, 3.6]

3.6

コンディショニング

バイアスを低減するため、および/または出力のエントロピー率が指定された量以上であることを保証するためにデータを処理する方法

3.7

暗号境界

暗号化モジュールのすべてのコンポーネント (つまり、ハードウェア、ソフトウェア、またはファームウェアのセット) の境界を確立する、明示的に定義された境界。

[出典:ISO/IEC TS 30104:2015, 3.4]

3.8

決定論的アルゴリズム

特定の入力が与えられると常に同じ出力を生成する アルゴリズム (3.1)

3.9

決定的ランダムビットジェネレーター

DRBG

シードと呼ばれる適切にランダムな初期値、および場合によってはランダム ビット ジェネレーターのセキュリティが適用されないいくつかの二次入力に 決定論的アルゴリズム (3.8) を 適用することによって、ランダムに現れるビットのシーケンスを生成するランダム ビット ジェネレーター (3.40)依存する

注記 1:特に、非決定的ソースもこれらの二次入力の一部を形成する場合があります。

3.10

決定的ランダムビットジェネレータ境界

DRBG境界

決定論的ランダム ビット ジェネレーター (DRBG) (3.9) の動作と、他のプロセスとの相互作用および関係を説明するために使用される概念的な境界。

3.11

強化された後方機密性

ランダム ビット ジェネレーター (3.40) の現在の内部状態を知ることで、攻撃者が実際の計算量をかけて以前の出力値に関する知識を導き出すことができないことを保証します。

注記 1:文献でよく見られる、強化された後方秘密主義に似たもう 1 つの用語は、バックトラック抵抗です。

[出典: ISO/IEC 20543:2019, 3.6 修正 — エントリの注 1 が置き換えられ、「derive」と「effort」の後にカンマが追加されました]

3.12

強化された前方秘匿性

現在および以前の内部状態の知識が与えられた場合、十分な エントロピー (3.13) が内部状態に混合された後は、(将来の) 出力値を決定することは実行不可能であるという保証

注記 1: 決定論的ランダム ビット ジェネレーター (3.9) は、 文の終わりに十分な新しいエントロピーを挿入しない限り、強化された前方秘匿性を達成できません。前方機密性および後方機密性、および 強化された後方機密性 (3.11) とは異なり、強化された前方機密性は、将来の出力の予測を実行不可能にするために必要なだけのエントロピーを供給する継続的な再シード プロセスの能力に完全に依存しています。

注記 2:ランダム ビット ジェネレータは、前方秘密保持を強化しながらもエントロピーを拡張する、つまり原理的に大幅に「圧縮」できるビット列を出力することが可能です。たとえば、推定 128 ビットの最小R を持ち、512 ビットの内部状態S ( n )、 S ( n +1):= SHA3-512( S ( n )|| R ) を与える内部状態遷移関数、およびS ( n に SHAKE-256 を適用する出力生成関数) )||呼び出しごとに最大 1 024 ビットの出力を持つR

注記 3:文献でよく見られる、強化された前方秘密保持に類似した別の用語は、予測抵抗です。

注記 4:内部状態に不十分なエントロピーが混入すると、強化された前方秘匿性は達成されず、「反復推測攻撃」による追加のエントロピーによって内部状態の侵害が修復されない可能性があります。

3.13

エントロピ

閉じたシステムにおける無秩序、ランダム性、または変動性の尺度

注記 1:確率変数X のエントロピーは、 X の観測によって提供される情報量の数学的尺度です。

3.14

エントロピー率

ビット列 (3.4) 内の エントロピーの評価量 (3.13) を ビット列 (3.4) のビット数で割った値

3.15

エントロピーソース

ノイズ源、健全性テスト、および ランダム ビット ジェネレーター (3.40) で使用するランダム ビット文字列 (3.4) を生成するオプションの 調整 (3.6) の組み合わせ。

注記 1: エントロピー発生源は、ノイズ発生源に応じて、物理的または非物理的になります。

3.16

前方機密性

以降の (将来の) 出力値の知識は、現在または以前の出力値から実際の計算量をかけて決定することはできないという保証

注記 1:この定義は 、ランダム ビット ジェネレーター (3.40) のコンテキストに固有です。これを、ISO/IEC 11770 シリーズでキー管理に関して定義されている「Forward Secrecy」と混同しないでください。

3.17

フルエントロピー

実質的に 1 に近い エントロピー率 (3.14)

3.18

完全なエントロピーソース

完全なエントロピーで出力を生成するソース (3.17)

3.19

完全な前方機密性

DRBG によってサポートされるセキュリティ強度のセキュリティ要件を満たすために、すべての生成プロセス中に十分な エントロピー (3.13) が提供される、 決定論的ランダム ビット ジェネレータ (DRBG) (3.9) の特性。

3.20

ガラスの箱

入力を受け入れて出力を生成する理想的なメカニズムで、観察者が入力から出力がどのように計算されるかを正確に判断できるように設計されています。

3.21

ハッシュ関数

注記 1:計算上の実現可能性は、特定のセキュリティ要件および環境によって異なります。 ISO/IEC 10118-1:2016, 付録 C を参照してください。

[出典:ISO/IEC 10118-1:2016, 3.4 修正 – 定義に 3 番目の箇条書きを追加。「2 つのプロパティ」を「3 つのプロパティ」に変更。

3.22

ハイブリッド DRBG

ハイブリッド決定論的ランダム ビット ジェネレーター

動作中に外部入力値を受け入れることができる 決定論的ランダム ビット ジェネレーター (DRBG) (3.9)

3.23

ハイブリッドNRBG

ハイブリッド非決定性ランダム ビット ジェネレーター

ノイズ源からの非決定的な入力を持ち、複雑でステートフルな後処理 (暗号処理など) を使用する ランダム ビット ジェネレーター (3.40)

注記 1:ハイブリッド 非決定論的ランダム ビット ジェネレータ (NRBG) (3.30) は、 その エントロピー (3.13) ソースに応じて物理的または非物理的になります。

3.24

独立して同一に分散

同じ分布を共有し、相互に独立していることを示す確率変数ファミリーの特性

[出典:ISO/IEC 20543:2019, 3.14]

3.25

初期化値

暗号 アルゴリズムの開始点を定義する際に使用される値 (3.1)

注1: ​​初期化値を使用する暗号アルゴリズムの例には、ハッシュ関数や暗号化アルゴリズムが含まれます。

3.26

ケルクホフの箱

設計と公開鍵は敵対者に知られているwhere 、敵対者には知られていない秘密鍵やその他の個人情報が存在する理想的な暗号システム

3.27

答えがわかっているテスト

決定論的メカニズムをテストする方法。指定された入力where メカニズムによって処理され、その結果の出力が対応する既知の値と比較されます。

注記 1: 決定論的メカニズムの既知の回答テストには、決定論的メカニズムを実装するソフトウェアの整合性テストも含まれる場合があります。たとえば、決定論的メカニズムを実装するソフトウェアがデジタル署名されている場合、署名を再計算して既知の署名値と比較できます。

3.28

最小エントロピー

エントロピーの下限 (3.13) は、サンプリングされたエントロピーの最悪の場合の推定値を決定するのに役立ちます。

注 1:ビット列X (より正確には、このタイプのランダムなビットx をモデル化する対応する確率変数) は、 k Pr X 2 ^-k となるような最大値である場合、最小エントロピーk を持ちます。つまり、 X はk ビットの最小エントロピーまたはランダム性が含まれます。

3.29

ノイズ源

非決定的でエントロピーを生成する活動 (熱雑音やハードドライブのシーク時間など) を含むエントロピー ソースのコンポーネント

注記 1:ノイズ源は、物理的または非物理的なノイズ源とは異なり、デジタルデータを出力しません。

3.30

非決定的ランダムビットジェネレーター

NRBG

1 つまたは複数のエントロピー ソースをサンプリングする ランダム ビット ジェネレーター (3.40) 正しく動作すると、無制限の計算能力を持つ攻撃者にとって予測不可能な出力が得られます。

[出典:ISO/IEC 20543:2019, 3.19, 修正 - 「継続的に」および「短期間で」は削除されました。 「1つまたは」が追加されました。】

3.31

非物理的エントロピー源

エントロピー (3.13) が 1 つまたは複数の 非物理ノイズ源 (3.33) からクレジットされるエントロピー ソース。例: ランダム アクセス メモリ (RAM) の内容やスレッド番号。

3.32

非物理的なノイズ源

システムデータ、周辺データ、またはユーザーインタラクションを利用してデジタルデータを出力するノイズ源

3.33

一方向関数

指定された入力の出力を計算するのは簡単ですが、指定された出力にマップされる入力を見つけるのは計算上不可能であるという特性を持つ関数

[出典:ISO/IEC 11770-3:2021, 3.30]

3.34

出力生成機能

RBG の内部状態から RBG の出力を計算する 、ランダム ビット ジェネレーター (RBG) (3.40) の関数

3.35

物理エントロピー源

エントロピー (3.13) が 物理ノイズ源 (3.36) からのみカウントされるエントロピー ソース

3.36

物理的なノイズ源

専用のハードウェアまたは物理実験からの物理現象を利用し、デジタル化されたランダム データを生成する ノイズ源 (3.29)

3.37

保護境界

(選択した脅威モデルに従って) 攻撃者が悪意のある方法でプロセスを観察したり影響を与えたりすることができない安全なドメインを定義する物理的または概念的な境界。

3.38

純粋なDRBG

純粋な決定論的ランダムビットジェネレーター

唯一の外部入力が初期シードである 決定的ランダム ビット ジェネレーター (3.9)

3.39

純粋なNRBG

純粋な非決定論的なランダム ビット ジェネレーター

ノイズ源から非決定的な入力を取得し、後処理が非暗号またはステートレス暗号である ランダム ビット ジェネレーター (3.40)

3.40

ランダムビットジェネレーター

RBG

統計的に独立していて偏りがないように見えるビットのシーケンスを出力するデバイスまたは アルゴリズム (3.1)

3.41

ランダム性のソース

エントロピー ソース、 非決定的ランダム ビット ジェネレーター (3.30) 、または 決定的ランダム ビット ジェネレーター (3.9) になることができる ランダム ビット ジェネレーター (3.40) のランダム性のソース

3.42

再シード

新しいシード値が提供された場合に、現在の内部状態と新しいシード値から新しい内部状態を計算するか、新しいシードのみに基づいて内部状態を置き換えることによって、内部状態を更新する特殊な内部状態遷移関数。価値

注記 1: 再シードという用語は、文献中でさまざまな方法で使用されています。このドキュメントでは、再シードとは、内部状態の現在の値を新しい値に置き換えるメカニズムを指します。この値は、現在の値に（部分的に）依存する場合もあれば、依存しない場合もあります。他の場所では、再シードとシード更新が区別されることがあります。このような場合、再シードという用語は、内部状態を現在の値に依存しない新しい値で置き換えるメカニズム (本質的には新しいシード処理) に対してのみ使用され、シード更新という用語は、内部状態を計算するメカニズムに対してのみ使用されます。現在の値およびその他の (通常は非決定的な) データの関数としての新しい内部状態 (9.6 の項目 3 を参照)

3.43

シークレットパラメータ

ランダム ソースの障害または侵害の場合に追加のランダム性を提供する ランダム ビット ジェネレーター (3.40) への入力。

注 1:実際には、秘密パラメータはキーであることがよくあります。

注 2: Secret パラメータは、十分なランダム性がある場合にのみ役立ちます。

注記 3: Secret パラメータはシードと同じではありません。

3.44

セキュリティ強度

暗号 アルゴリズム (3.1) またはシステムを破るのに必要な作業量 (つまり、ある種の操作の数) に関連付けられた数値。

注記 1:アルゴリズムまたはシステムに関連付けられたセキュリティー強度がn ビットの場合、それを破るには (およそ) 2 ⁿ 基本操作が必要であることが予想されます。

3.45

シード

決定論的ランダム ビット ジェネレーター (DRBG) (3.9) の内部状態を初期化するための入力として使用される ビット文字列 (3.4)

注記 1:シードは DRBG の状態の一部を決定します。

3.46

種子

1 つの シード (3.45) で 決定論的ランダム ビット ジェネレーター (DRBG) (3.9) を 初期化または再シードしてから、その DRBG を別のシードで再シードするまでの期間

3.47

種子材料

決定論的ランダム ビット ジェネレーター (DRBG) への入力のシードを形成するために使用されるデータ (3.9)

注記 1:この用語は、ランダムソースによって提供されるビットストリームを指すのによく使用されます。

3.48

シード値

決定論的ランダム ビット ジェネレーター (3.9) に エントロピー (3.13) を提供するランダム性ソースからの入力 ビット文字列 (3.4)

3.49

州

特定の瞬間における ランダム ビット ジェネレーター (3.41) またはその一部の状態

3.50

確率モデル

ノイズ源の少なくとも定性的な理解に基づく、ランダム ビット ジェネレーターの部分的な数学的記述。パラメータ推定のために経験的に収集されたデータと合わせて、ノイズ源からのエントロピー主張の導出を可能にします。

注記 1:ランダム ビット ジェネレーターを評価する場合、確率モデルが生のランダム ビットの動作を記述することが推奨されますが、必須ではありません。その後の後処理により、確率モデルがモデル化されるデバイスの動作と十分に対応し、示されるエントロピーの主張を裏付ける説得力のあるケースを作成することがさらに困難になる可能性があります。たとえば、決定論的ランダム ビット ジェネレーターの出力乱数に適用される確率モデルは、統計的に本質的にテストできません。これは、暗号化後処理では、少なくとも生のランダム ビットの確率モデルを欠いている攻撃者の観点からは、現実的なサンプル サイズではランダム ノイズと区別できない非常に低いエントロピー データでもレンダリングできるためです。

[出典:ISO/IEC 20543:2019, 3.30 修正 - 「ノイズ源から」が定義に追加されました。注記 1 では、最後の単語「数値」が「ビット」に置き換えられています。最後の文が 2 つに分かれています。]

3.51

動作状態

特定の時点で擬似ランダム ビットを生成するために 決定論的ランダム ビット ジェネレーター (3.9) メカニズムによって使用される内部状態のサブセット

3.1

algorithm

clearly specified mathematical process for the computation of a set of rules that, if followed, will give a prescribed result

3.2

backward secrecy

assurance that previous random bit generator (RBG) (3.40) output values cannot be determined with practical computational effort from knowledge of current or subsequent (future) output values

3.3

bit stream

continuous output of bits from a device or mechanism

3.4

bit-string

finite sequence of ones and zeroes

3.5

block cipher

symmetric encryption system with the property that the encryption algorithm (3.1) operates on a block of plaintext to yield a block of ciphertext

Note 1 to entry: The block ciphers standardized in ISO/IEC 18033-3 have the property that plaintext and ciphertext blocks are of the same length.

[SOURCE:ISO/IEC 18033-1:2021, 3.6]

3.6

conditioning

method of processing the data to reduce bias and/or ensure that the entropy rate of the output is no less than some specified amount

3.7

cryptographic boundary

explicitly defined perimeter that establishes the boundary of all components (i.e. a set of hardware, software, or firmware) of the cryptographic module

[SOURCE:ISO/IEC TS 30104:2015, 3.4]

3.8

deterministic algorithm

algorithm (3.1) that, when given a particular input, always produces the same output

3.9

deterministic random bit generator

DRBG

random bit generator (3.40) that produces a random-appearing sequence of bits by applying a deterministic algorithm (3.8) to a suitably random initial value called a seed and, possibly, some secondary inputs upon which the security of the random bit generator does not depend

Note 1 to entry: In particular, non-deterministic sources may also form part of these secondary inputs.

3.10

deterministic random bit generator boundary

DRBG boundary

conceptual boundary that is used to explain the operations of a deterministic random bit generator (DRBG) (3.9) and its interaction with and relation to other processes

3.11

enhanced backward secrecy

assurance that the knowledge of the current internal state of a random bit generator (3.40) does not allow an adversary to derive, with practical computational effort, knowledge about previous output values

Note 1 to entry: Another term often found in the literature that is similar to enhanced backward secrecy is backtracking resistance.

[SOURCE:ISO/IEC 20543:2019, 3.6 modified — Note 1 to entry replaced and commas added after “derive” and “effort”]

3.12

enhanced forward secrecy

assurance that it is not feasible to determine (future) output values after sufficient entropy (3.13) has been mixed into the internal state, given knowledge of the current and previous internal state

Note 1 to entry: Deterministic random bit generators (3.9) are unable to achieve enhanced forward secrecy without the insertion of sufficient fresh entropy at the end of the sentence. Unlike forward and backward secrecy as well as enhanced backward secrecy (3.11) , enhanced forward secrecy rests entirely on the ability of a continuous reseeding process to supply as much entropy as required to make the prediction of future outputs infeasible.

Note 2 to entry: It is possible for a random bit generator to have enhanced forward secrecy but still expand entropy, i.e. output a bit-string that can, in principle, be significantly “compressed”. For instance, it is possible to consider a random bit generator design with a random source that produces (at each invocation) a 128-bit random string R with an estimated 128 bits of min entropy, with a 512-bit internal state S(n), an internal state transition function giving S(n+1):= SHA3-512(S(n)||R), and an output generation function applying SHAKE-256 on S(n)||R with up to 1 024 bits of output per invocation.

Note 3 to entry: Another term often found in the literature that is similar to enhanced forward secrecy is prediction resistance.

Note 4 to entry: If insufficient entropy is mixed into the internal state, enhanced forward secrecy is not achieved, and it is possible that a compromise of the internal state is not cured by the additional entropy due to “iterative guessing attacks.”

3.13

entropy

measure of the disorder, randomness or variability in a closed system

Note 1 to entry: The entropy of a random variable X is a mathematical measure of the amount of information provided by an observation of X.

3.14

entropy rate

assessed amount of entropy (3.13) in a bit-string (3.4) divided by the number of bits in the bit-string (3.4)

3.15

entropy source

combination of a noise source, health tests, and optional conditioning (3.6) that produce random bit-strings (3.4) for use by a random bit generator (3.40)

Note 1 to entry: Entropy sources can be physical or non-physical, depending on the noise source.

3.16

forward secrecy

assurance that the knowledge of subsequent (future) output values cannot be determined with practical computational effort from current or previous output values

Note 1 to entry: This definition is specific to the context of random bit generators (3.40) . It should not be confused with"forward secrecy" defined in the ISO/IEC 11770 series for key management.

3.17

full entropy

entropy rate (3.14) that is practically close to 1

3.18

full entropy source

source that produces output with full entropy (3.17)

3.19

full forward secrecy

property of a deterministic random bit generator (DRBG) (3.9) in which sufficient entropy (3.13) is provided during every generation process to meet the security requirements for the security strength to be supported by the DRBG

3.20

glass box

idealized mechanism that accepts inputs and produces outputs and is designed such that an observer can determine exactly how the outputs are computed from the inputs

3.21

hash-function

Note 1 to entry: Computational feasibility depends on the specific security requirements and environment. Refer to ISO/IEC 10118-1:2016, Annex C.

[SOURCE:ISO/IEC 10118-1:2016, 3.4 modified – third bullet point added to the definition;"two properties" changed to"three properties".]

3.22

hybrid DRBG

hybrid deterministic random bit generator

deterministic random bit generator (DRBG) (3.9) that is capable of accepting external input values during its operation

3.23

hybrid NRBG

hybrid non-deterministic random bit generator

random bit generator (3.40) with non-deterministic input from a noise source and that uses complex, stateful post-processing (e.g. cryptographic processing)

Note 1 to entry: A hybrid non-deterministic random bit generator (NRBG) (3.30) can be physical or non-physical depending on its entropy (3.13) source.

3.24

independent and identically distributed

property of a family of random variables stating that they share the same distribution and are mutually independent

[SOURCE:ISO/IEC 20543:2019, 3.14]

3.25

initialization value

value used in defining the starting point of a cryptographic algorithm (3.1)

Note 1 to entry: Examples of cryptographic algorithms that use an initialization value include hash-functions and encryption algorithms.

3.26

Kerckhoffs’s box

idealized cryptosystem where the design and public keys are known to an adversary, but in which there are secret keys and/or other private information that are not known to an adversary

3.27

known-answer test

method of testing a deterministic mechanism where a given input is processed by the mechanism, and the resulting output is then compared to a corresponding known value

Note 1 to entry: Known-answer testing of a deterministic mechanism may also include testing the integrity of the software that implements the deterministic mechanism. For example, if the software implementing the deterministic mechanism is digitally signed, then the signature can be recalculated and compared to the known signature value.

3.28

min-entropy

lower bound of entropy (3.13) that is useful in determining a worst-case estimate of sampled entropy

Note 1 to entry: The bit-string X (or more precisely, the corresponding random variable that models random bit-strings of this type) has min-entropy k, if k is the largest value such that Pr[X = x] ≤ 2^-k . That is, X contains k bits of min-entropy or randomness.

3.29

noise source

component of an entropy source that contains the non-deterministic, entropy-producing activity (e.g. thermal noise or hard-drive seek times)

Note 1 to entry: A noise source does not output digital data, unlike a physical or non-physical noise source.

3.30

non-deterministic random bit generator

NRBG

random bit generator (3.40) that samples one or multiple entropy sources and, if operating correctly, has an output that is expected to be unpredictable for attackers with unbounded computational capabilities

[SOURCE:ISO/IEC 20543:2019, 3.19, modified — “continuously” and “over short timescales” have been deleted; “one or” has been added.]

3.31

non-physical entropy source

entropy source in which entropy (3.13) is credited from one or more non-physical noise sources (3.33) e.g. random-access memory (RAM) content or thread number

3.32

non-physical noise source

noise source that exploits system data, peripheral data, or user interaction and outputs digital data

3.33

one-way function

function with the property that it is easy to compute the output for a given input but it is computationally infeasible to find an input that maps to a given output

[SOURCE:ISO/IEC 11770-3:2021, 3.30]

3.34

output generation function

function in a random bit generator (RBG) (3.40) that computes the output of the RBG from the internal state of the RBG

3.35

physical entropy source

entropy source in which entropy (3.13) is counted only from a physical noise source (3.36)

3.36

physical noise source

noise source (3.29) that exploits physical phenomena from dedicated hardware or physical experiments and produces digitized random data

3.37

protection boundary

physical or conceptual perimeter that defines the secure domain into which an attacker cannot observe or influence the process in a malicious way (according to a chosen threat model)

3.38

pure DRBG

pure deterministic random bit generator

deterministic random bit generator (3.9) whose only external input is an initial seed

3.39

pure NRBG

pure non-deterministic random bit generator

random bit generator (3.40) that takes its non-deterministic input from a noise source, and for which any post-processing is non-cryptographic or stateless cryptographic

3.40

random bit generator

RBG

device or algorithm (3.1) that outputs a sequence of bits that appears to be statistically independent and unbiased

3.41

randomness source

source of randomness for a random bit generator (3.40) that can be an entropy source, a non-deterministic random bit generator (3.30) , or a deterministic random bit generator (3.9)

3.42

reseeding

specialized internal state transition function that updates the internal state in the event that a new seed value is supplied by either computing a new internal state from the current internal state and the new seed value, or by replacing the internal state based only on the new seed value

Note 1 to entry: The term reseeding is used in a variety of ways in the literature. In this document, reseeding refers to a mechanism that replaces the current value of the internal state by a fresh value, which can either (partially) depend on the current value, or not. Elsewhere, a distinction is sometimes made between reseeding and seed update. In such cases, the term reseeding is only used for mechanisms that replace the internal state by a new value that does not depend on the current value (essentially a new seeding process), and the term seed update is used for a mechanism that computes the new internal state as a function of its current value and other (usually non-deterministic) data (see 9.6, item 3).

3.43

secret parameter

input to the random bit generator (3.40) that provides additional randomness in the event of a failure or compromise of the randomness source

Note 1 to entry: In practice, the secret parameter is often a key.

Note 2 to entry: The secret parameter is only useful if it has sufficient randomness.

Note 3 to entry: The secret parameter is not the same as a seed.

3.44

security strength

number associated with the amount of work (i.e. the number of operations of some sort) that is required to break a cryptographic algorithm (3.1) or system

Note 1 to entry: If the security strength associated with an algorithm or system is n bits, then it is expected that (roughly) 2 ⁿ basic operations are required to break it.

3.45

seed

bit-string (3.4) that is used as input to initialize the internal state of a deterministic random bit generator (DRBG) (3.9)

Note 1 to entry: The seed will determine a portion of the state of the DRBG.

3.46

seedlife

period of time between initializing or reseeding the deterministic random bit generator (DRBG) (3.9) with one seed (3.45) and reseeding that DRBG with a different seed

3.47

seed material

data used to form a seed for input to a deterministic random bit generator (DRBG) (3.9)

Note 1 to entry: The term is often used to refer to the bit stream provided by a randomness source.

3.48

seed value

input bit-string (3.4) from a randomness source that provides entropy (3.13) for a deterministic random bit generator (3.9)

3.49

state

condition of a random bit generator (3.41) or any part thereof at a particular instant

3.50

stochastic model

partial mathematical description of a random bit generator based on at least a qualitative understanding of the noise source which, together with possibly some data gathered empirically for parameter estimation, allows the derivation of entropy claims from the noise source

Note 1 to entry: In the context of evaluating random bit generators, it is recommended but not required that the stochastic model describe the behaviour of the raw random bits. Subsequent post-processing can make it more difficult to make a convincing case that the stochastic model is in sufficient correspondence with the workings of the device to be modelled to support the entropy claims to be shown. For instance, a stochastic model applied to the output random numbers of a deterministic random bit generator will be essentially untestable statistically. This is because cryptographic post-processing can render even very low entropy data which is indistinguishable from random noise at realistic sample sizes, at least from the point of view of any adversary lacking a stochastic model of the raw random bits.

[SOURCE:ISO/IEC 20543:2019, 3.30 modified —"from the noise source" added to the definition; in Note 1 to entry, the last word “numbers” has been replaced by “bits”; the last sentence has been split into two.]

3.51

working state

subset of the internal state that is used by a deterministic random bit generator (3.9) mechanism to produce pseudorandom bits at a given point in time