ISO/IEC 20543:2019 情報技術—セキュリティ技術— ISO / IEC19790およびISO / IEC15408内のランダムビットジェネレーターのテストおよび分析方法 | ページ 6

3.1

後方機密性

以前の RBG 出力値が現在またはその後の出力値の知識から決定できないことを保証する

3.2

ビットストリーム

デバイスまたは機構からのビットの連続出力

[出典:ISO/IEC 18031:2011, 3.4]

3.3

ブラックボックス

入力を受け入れて出力を生成する理想的なメカニズムですが、観察者が箱の中を見ることも、その箱の中で何が起こっているのかを正確に判断することもできないように設計されています。

注記 1:この用語は 、ガラスの箱 (3.13) と対比できます。

[出典:ISO/IEC 18031:2011, 3.6]

3.4

適合性テスター

テスター

所定の適合性テスト規格および関連するテスト方法に従ってテスト活動を実行するよう割り当てられた個人

[出典:ISO/IEC 19896‑1:2018, 3.2, 修正 — 「テスター」という用語が認められた用語として追加されました。

3.5

決定的ランダムビットジェネレーター

DRBG

シードと呼ばれる適切にランダムな初期値と、場合によってはいくつかの二次入力に決定論的アルゴリズムを適用することによって、ランダムに現れるビットのシーケンスを生成するランダム ビット ジェネレーター

注記 1:非決定的なソースも、これらの二次入力の一部を形成する可能性があります。

注記 2:決定論的ランダム ビット ジェネレータのセキュリティは、主にその暗号アルゴリズムの強度とシード値に含まれるランダム性に依存します。暗号用途に適した決定論的ランダム ビット ジェネレーターでは、RBG への二次入力の呼び出しや再シードを行わずに、少なくとも前方および後方の機密性が保証されるものとします。」

3.6

強化された後方機密性

ランダム ビット ジェネレーターの現在の内部状態を知ることで、攻撃者が実際の計算量を使って以前の出力値に関する知識を導き出すことができないことを保証する

注記 1:強化された後方秘密性の概念は、メモリレス RBG にとっては自明です。したがって、これは決定論的およびハイブリッド RBG にとって有用な概念にすぎず、そのセキュリティは状態遷移関数の暗号特性とランダム ビット ジェネレーターの出力生成関数に少なくとも部分的に依存します。

3.7

強化された前方秘匿性

ランダム ビット ジェネレーターの現在の内部状態を知っていても、その後の (将来の) 出力値に実質的に関連する制約が生じないことを保証します。

注記 1:決定論的ランダム ビット ジェネレーターは、強化された転送秘密を達成できません。前方機密性および後方機密性、および強化された後方機密性とは異なり、強化された前方機密性は、将来の出力の予測を実行不可能にするために必要なだけのエントロピーを供給する継続的な再シード プロセスの能力に完全に依存しています。

注記 2:ランダム ビット ジェネレータは、前方秘匿性を強化しながらもエントロピーを拡張することができます。つまり、原理的には大幅に圧縮できるビット列を出力することは可能です。たとえば、各呼び出しで推定 120 ビットの最小エントロピーを持つ 128 ビットのランダム文字列 R を生成する、512 ビットの内部状態S, (n)、S(n+1):=を与える状態遷移関数を持つ 128 ビットのランダム文字列R を生成するランダム ソースを備えた RBG 設計を考えることができます。 SHA3​​-512(S(n)||R) 、および呼び出しごとに最大 1024 ビットの出力でS(n)||Rに SHAKE-256 を適用する出力生成関数。

注記 3:文献でよく見られる、強化された前方秘密保持と互換性のあるもう 1 つの用語は、予測抵抗です。

3.8

エントロピ

ビット文字列がどのように生成されたかを知っている場合に、ビット文字列に含まれる予想される情報量の尺度

注 1: 暗号化において役割を果たすエントロピーのさまざまな概念があります。それらの中で言及する価値があるのは、シャノン エントロピー、最小エントロピー、衝突エントロピー、推測エントロピー、アルゴリズム エントロピー、および Renyi エントロピー (後者の概念には、シャノン エントロピー、最小エントロピー、衝突エントロピーの中でも特殊なケースとして含まれます)

注記 2:未知のビット列に含まれるエントロピーの量は、常に観測者を基準にしています。 RBG 評価は、エントロピー ソースに関する詳細な知識を持つ攻撃者に直面してエントロピー推定を確立し、エントロピー ソースの状態を観察または影響を与える攻撃者の能力も考慮します。

注記 3:選択したエントロピーの種類に関係なく、「完全なエントロピー」という用語は常に同じ、つまり一様に分布した独立した乱数、つまり理想的な乱数を意味します。

注記 4:アルゴリズムのエントロピーは、特定の形式言語における最短のエンコーディングの長さの底 2 の対数です。その尺度は、最適な圧縮の概念に基づいています。ビット文字列のアルゴリズム エントロピーは、基礎となる形式言語に依存し、明確に定義された形式言語が与えられたとしても、言語が非常に制限されていない限り、一般に計算できません。ただし、関連する概念は暗号化の文脈でも関連性があります。たとえば、物理的なノイズ源と、ノイズ源の出力を生の乱数に変換するプロセスについての正確な理解に基づく、ある固定の計算効率の高い圧縮戦略を使用して、ある物理的なノイズ源から得られた生の乱数のシーケンスをどの程度圧縮できるかを尋ねることができます。

3.9

エントロピーソース

本質的に予測できない出力を生成するメカニズムまたは装置

注 1:純粋に決定論的なランダム ビット ジェネレーターのコンテキストでは、エントロピー生成は 1 回だけ実行できます。この場合、RBG デバイスにエントロピー ソースが含まれていない可能性があります。それでも、そのような RBG によって使用されるエントロピーのソースは、そうでなければ必要とされるのと同じ基準で評価される必要があります。

注記 2:状況によっては、決定論的 RBG に、自身の境界内にエントロピーを生成するハードウェアを含める代わりに、外部で生成されたエントロピーをシードすることが許容される場合があります。その場合、外部で生成されたエントロピーは、対象となる RBG インスタンスでのみ利用可能になります。

3.10

評価者

与えられた評価基準および関連する評価方法に従って評価を実行するよう割り当てられた個人

注記 1:評価規格の例としては、ISO/IEC 18045 に示されている関連評価方法を備えた ISO/IEC 15408 (全パート) があります。

[出典:ISO/IEC 19896‑1:2018, 3.5]

3.11

前方機密性

その後の（将来の）価値の知識が現在または以前の価値から決定できないという保証

[出典:ISO/IEC 18031:2011, 3.13]

3.12

ガラスの箱

入力を受け入れて出力を生成する理想的なメカニズムで、観察者が内部を見て何が起こっているかを正確に判断できるように設計されています。

注記 1:この用語は 、ブラックボックス (3.3) と対比することができます。

[出典:ISO/IEC 18367:2016, 3.12]

3.13

健康診断

オンラインテストと全故障テスト

3.14

独立して同一に分散

IID

同じ分布を共有し、相互に独立していることを示す確率変数ファミリーの特性

3.15

研究室

定義された一連のポリシーおよび手順に従って評価およびテスト作業を提供し、IT 製品のセキュリティ機能をテストまたは評価するための定義された方法論を利用する管理システムを備えた組織

注記 1: これらの組織には、さまざまな承認機関によって別名が与えられることがよくあります。たとえば、IT セキュリティ評価機関 (ITSEF)、コモン クライテリア テスト ラボラトリー (CCTL)、商用評価機関 (CLEF) などです。

[出典:ISO/IEC 19896‑1:2018, 3.8]

3.16

最小エントロピー

有限確率変数X の最小エントロピーは -log2(p_max) です。 where p_max は最も可能性の高い結果の確率を示します。つまり、すべてのx についてp_max >=p_x です。

3.17

エントロピーの推測

推測作業

<of X > 最適なx 戦略に従う攻撃者がx ^{[ 19]} X 値を推測するX に提出する必要がある推測の予想数。

注 1:エントロピーを推測する式は\sum_i=1^n ip_iです。 where p_i はp_1 >= p_2 >= ... の順序で並べられます (つまり、最適な推測戦略は、最も可能性の高い結果を最初に推測することです)

3.18

非専用の非決定的ランダム ビット ジェネレーター

NNRBG

非決定的ランダム ビット ジェネレーターのセキュリティは、ランダム性を生成するように明示的に設計されたハードウェアによって生成されたランダム性に基づいていません。

注記 1: TNRBG および NNRBG は、それぞれ真の専用 NRBG および非専用 NRBG を表します。

3.19

非決定的ランダムビットジェネレータ

NRBG

複数のエントロピー ソースを継続的にサンプリングするランダム ビット ジェネレーター。正しく動作していれば、短期間で無制限の計算能力を持つ攻撃者にとって予測不可能な出力が得られます。

3.20

完全前方機密性

暗号化プロトコルの特性。これにより、攻撃者は参加者の長期的な秘密を知ることによってプロトコルの過去の実行を侵害できなくなります。

3.21

物理エントロピー源

専用の物理的効果 (ノイズの多いダイオード、核崩壊など) の使用に基づくエントロピー ソース

3.22

ノイズ源

部分的に予測不可能な出力を生成する技術システムまたはその環境の要素。この文書では、「ノイズ源」と「エントロピー源」をエントロピー源として扱います。

3.23

非物理的エントロピー源

専用の物理システムではなく、環境の予測不可能な部分や、元々はランダム ビット生成用に設計されていない技術コンポーネントに基づいたエントロピー ソース

注記 1:例としては、標準コンピュータにおけるユーザー入力や、予測が困難なさまざまなシステムデータ (ハードドライブのアクセス時間、センサーデバイスからのノイズ、システム割り込みなど) の収集が考えられます。

3.24

後処理

ランダム ビットまたはバイアス間の依存関係を除去することを目的として、ランダム ソースの出力を処理するランダム ビット ジェネレーターの一部。コンディショニング成分とも呼ばれることが多い

3.25

ランダムビットジェネレーター

RBG

統計的に独立していて偏りがないように見えるビットを生成するように設計されたデバイスまたはアルゴリズム

注記 1:純粋に物理的なランダムビット生成器の場合、非常に小さなエントロピー欠陥の存在は許容されます。一方、決定論的な RBG 構造は、実際には理想的に分散されたデータと計算上区別できない出力を提供します。さらに、ハイブリッド設計は、物理 RBG の真のエントロピー保証と、決定論的 RBG の理想に近い出力分布および復元特性 (たとえば、ノイズ源障害に関して) を組み合わせることで、純粋な決定論的設計と純粋な物理的設計の両方に比べて利点があることは注目に値します。

3.26

生の乱数

デジタル化以降の後処理が実行される前に、ランダム ノイズ源のデジタル化または問題のマシン内での予測不可能なイベントの検出によって、ランダム ビット ジェネレーター内で内部的に生成されるビット シーケンス

注記 1:生の乱数はランダム ビット生成の初期段階を表しますが、すでに複雑な固有の擬似ランダム パターンが含まれている可能性があることに注意してください。たとえば、ハード ドライブのシーク時間のランダム性の一部は、通常、ハード ドライブ内の混沌とし​​た乱気流のパターンに関連しています。たとえハードドライブの他のすべての機能を抽象化したとしても、この効果に基づく RBG が大量の内部メモリを持たないと主張するのは難しいようです。ただし、大規模な内部メモリを備えたソースは、現実的なサンプル サイズを使用した統計テストによって適切に特徴付けることが難しいことで知られています。したがって、生のランダム ソースによって疑似ランダム パターンがどの程度表示されるかは、エントロピー ソースの設計に依存し、分析時に考慮する必要があります。一般的な統計テストでは、擬似乱数を実際の乱数と誤って認識し、生の乱数のエントロピーを過大評価する可能性があります。生の乱数を生成するメカニズムの設計を理解することが重要なのは主にこのためです。これには、A/D コンバータの分解能や非線形性、増幅回路によって生成されるノイズなど、デジタル化メカニズム自体の影響が含まれます。

3.27

セキュリティ強度

最大の自然数n 。内部 RBG 状態の真の事前分布が与えられた場合、計算上制限のない攻撃者は、RBG によって生成されたn ビット値と、均一にランダムに抽出されたn ビット値を無視できる以上の利点で区別できません。

注記 1:そのような数値n が存在しない場合、セキュリティ強度は無限であると言われます。

注記 2:決定論的ランダム ビット ジェネレーターは常に初期シード値に依存するため、サポートされるセキュリティ強度が無限の最大値を持つことができるのは、ハイブリッドまたは物理ランダム ビット ジェネレーターのみです。ただし、実行可能な条件付けステップの設計が攻撃者に知られている場合、純粋な物理ランダム ビット ジェネレーターの出力は、実際にはランダム データと区別できることがよくあることは注目に値します。

3.28

シャノンのエントロピー

<有限確率変数X の期待値 > −log2(px) の期待値。 where 、 px は実現X=xが観測される確率です。

注記 1: つまり、範囲S の有限確率変数X に対して、シャノンのエントロピーH(X) は次の式で与えられます。 ここで, 期待値を計算する目的で、 0*log2(0) = 0という規則を採用します。

3.29

定常性

確率過程の性質。これにより、過程の後続のインスタンスの結合分布は時間不変になります。

3.30

確率モデル

少なくともエントロピーソースの定性的理解に基づく、ランダムビットジェネレーターの部分的な数学的記述。パラメータ推定のために経験的に収集されたデータと併せて、エントロピー主張の導出を可能にする。

注記 1:ランダム ビット ジェネレーターを評価する場合、確率モデルが生のランダム ビットの動作を記述することが推奨されますが、必須ではありません。その後の後処理により、確率モデルがモデル化されるデバイスの動作と十分に対応し、示されるエントロピーの主張を裏付ける説得力のあるケースを作成することがさらに困難になる可能性があります。たとえば、決定論的ランダム ビット ジェネレーターの出力乱数に適用される確率モデルは、少なくとも生の乱数の確率モデルを欠いている敵対者の観点から、強力な暗号化後処理によって、非常に低いエントロピーのデータであっても現実的なサンプル サイズでランダム ノイズと区別できない限り、統計的にテストすることは本質的に不可能になります。

3.31

TNRBG

非決定性ランダム ビット ジェネレーターのセキュリティは、ランダム性を生成するように明示的に設計されたハードウェア コンポーネントに基づいています。

注記 1: TNRBG および NNRBG は、それぞれ真の専用 NRBG および非専用 NRBG を表します。

３ ． 32

検証権限

テスト結果が ISO/IEC 19790 に準拠していることを検証する組織

[出典:ISO/IEC 19790:2012, 3.132, 修正 - 定義において、「この国際規格」は「ISO/IEC 19790」に変更されました。]

3.33

ベンダー.ベンダー

テストと検証のために暗号モジュールを提出するエンティティ、グループ、または団体

注記 1:ベンダーは、暗号モジュールを設計または開発したかどうかに関係なく、すべての関連文書および設計証拠にアクセスできます。

[出典:ISO/IEC 19790:2012, 3.133]

3.1

backward secrecy

assurance that previous RBG output values cannot be determined from knowledge of current or subsequent output values

3.2

bit stream

continuous output of bits from a device or mechanism

[SOURCE:ISO/IEC 18031:2011, 3.4]

3.3

black box

idealized mechanism that accepts inputs and produces outputs, but is designed such that an observer cannot see inside the box or determine exactly what is happening inside that box

Note 1 to entry: This term can be contrasted with glass box (3.13) .

[SOURCE:ISO/IEC 18031:2011, 3.6]

3.4

conformance-tester

tester

individual assigned to perform test activities in accordance with a given conformance testing standard and associated testing methodology

[SOURCE:ISO/IEC 19896‑1:2018, 3.2, modified — The term"tester" has been added as an admitted term.]

3.5

deterministic random bit generator

DRBG

random bit generator that produces a random-appearing sequence of bits by applying a deterministic algorithm to a suitably random initial value called a seed and, possibly, some secondary inputs

Note 1 to entry: Non-deterministic sources can also form part of these secondary inputs.

Note 2 to entry: The security of a deterministic random bit generator rests primarily on the strength of its cryptographic algorithms and on the randomness contained in the seed value. In a deterministic random bit generator that is suitable for cryptographic use, at least forward and backward secrecy shall be assured without invoking secondary inputs to the RBG or reseeding.”

3.6

enhanced backward secrecy

assurance that the knowledge of the current internal state of a random bit generator does not allow an adversary to derive with practical computational effort knowledge about previous output values

Note 1 to entry: The notion of enhanced backward secrecy is trivial for memoryless RBGs. Therefore, it is only a useful notion for deterministic and hybrid RBGs, the security of which rests at least in part on cryptographic properties of the state transition function and the output generation function of the random bit generator.

3.7

enhanced forward secrecy

assurance that knowing the current internal state of the random bit generator does not yield practically relevant constraints on subsequent (future) output values

Note 1 to entry: Deterministic random bit generators are unable to achieve enhanced forward secrecy. Unlike forward and backward secrecy as well as enhanced backward secrecy, enhanced forward secrecy rests entirely on the ability of a continuous reseeding process to supply as much entropy as is required to make the prediction of future outputs infeasible.

Note 2 to entry: It is possible for a random bit generator to have enhanced forward secrecy but still expand entropy, i.e. output a bit-string that can in principle be significantly compressed”. For instance, one can consider an RBG design with a random source which produces at each invocation a 128 bit random string R with an estimated 120 bits of min entropy, with a 512 bit internal state S(n), a state transition function giving S(n+1):= SHA3-512(S(n)||R), and an output generation function applying SHAKE-256 on S(n)||R with up to 1024 bits of output per invocation.

Note 3 to entry: Another term often found in the literature that is interchangeable with enhanced forward secrecy is prediction resistance.

3.8

entropy

measure of the expected amount of information contained in a bit string given knowledge of how the bit string was generated

Note 1 to entry: There are various notions of entropy that play a role in cryptography. Worth mentioning among them are Shannon entropy, min entropy, collision entropy, guessing entropy, algorithmic entropy and Renyi entropy (the latter notion containing as special cases among others Shannon entropy, Min entropy and Collision entropy).

Note 2 to entry: The amount of entropy contained in an unknown bit string is always relative to an observer. RBG evaluations establish entropy estimates in face of an attacker with detailed knowledge about the entropy source and also consider her abilities to observe or influence the state of the entropy source.

Note 3 to entry: Irrespective of the chosen kind of entropy, the term “full entropy” always means the same, namely uniformly distributed and independent random numbers, that is, ideal randomness.

Note 4 to entry: An algorithmic entropy is a logarithm to the base 2 of the length of the shortest encoding in some given formal language. Its measure is based on the notion of optimal compression. The algorithmic entropy of a bit-string is dependent on the underlying formal language and even given a well-defined formal language, is in general incomputable unless the language is very restricted. However, related notions are of relevance in a cryptographic context. For instance, one can ask how much the sequence of raw random numbers derived from some physical noise source can be compressed using some fixed computationally efficient compression strategy that is informed by a precise understanding of the physical noise source and of the process that converts the output of the noise source into the raw random numbers.

3.9

entropy source

mechanism or device which produces intrinsically unpredictable output

Note 1 to entry: In the context of purely deterministic random bit generators, entropy generation can be performed just once, and in this case, it is possible for the RBG device not to contain an entropy source. The source of the entropy used by such an RBG nevertheless needs to be evaluated to the same standards that would otherwise be required.

Note 2 to entry: In some circumstances, it can be admissible for a deterministic RBG to be seeded with externally generated entropy instead of containing hardware that produces entropy within its own perimeter. In that case, the externally generated entropy shall only be available to the RBG instance it is intended for.

3.10

evaluator

individual assigned to perform evaluations in accordance with a given evaluation standard and associated evaluation methodology

Note 1 to entry: An example of an evaluation standard is ISO/IEC 15408 (all parts) with the associated evaluation methodology given in ISO/IEC 18045.

[SOURCE:ISO/IEC 19896‑1:2018, 3.5]

3.11

forward secrecy

assurance that the knowledge of subsequent (future) values cannot be determined from current or previous values

[SOURCE:ISO/IEC 18031:2011, 3.13]

3.12

glass box

idealized mechanism that accepts inputs and produces outputs and is designed such that an observer can see inside and determine exactly what is going on

Note 1 to entry: This term can be contrasted with black box (3.3) .

[SOURCE:ISO/IEC 18367:2016, 3.12]

3.13

health test

online test and total failure test

3.14

independent and identically distributed

IID

property of a family of random variables stating that they share the same distribution and are mutually independent

3.15

laboratory

organization with a management system providing evaluation and or testing work in accordance with a defined set of policies and procedures and utilizing a defined methodology for testing or evaluating the security functionality of IT products

Note 1 to entry: These organizations are often given alternative names by various approval authorities. For example, IT Security Evaluation Facility (ITSEF), Common Criteria Testing Laboratory (CCTL), Commercial Evaluation Facility (CLEF).

[SOURCE:ISO/IEC 19896‑1:2018, 3.8]

3.16

min entropy

the min entropy of a finite random variable X is −log2(p_max)wherep_max denotes the probability of the most likely outcome. That is, p_max >=p_x for all x

3.17

guessing entropy

guess work

<of X> expected number of guesses an adversary following an optimal guessing strategy needs to submit in order to guess the value of x^[19], with X, a random finite variable and x, the value of a realization of X (i.e. a corresponding random variate)

Note 1 to entry: The formula for the guessing entropy is \sum_i=1^n ip_iwhere the p_i are ordered p_1 >= p_2 >= ... (that is, the optimal guessing strategy is to guess the most likely outcomes first).

3.18

non-dedicated non-deterministic random bit generator

NNRBG

non-deterministic random bit generator the security of which is not based on randomness generated by hardware that was designed explicitly to generate randomness

Note 1 to entry: TNRBG und NNRBG stand for true dedicated NRBG and non-dedicated NRBG, respectively.

3.19

non-deterministic random bit generator

NRBG

random bit generator that continuously samples multiple entropy sources and, if operating correctly, has an output that is expected to be unpredictable for attackers with unbounded computational capabilities over short timescales

3.20

perfect forward secrecy

property of a cryptographic protocol whereby an attacker cannot compromise past runs of the protocol by learning the long-term secrets of the participants

3.21

physical entropy source

entropy source based on the use of a dedicated physical effect (e.g. noisy diode, nuclear decay, etc.)

3.22

noise source

element of a technical system or its environment which produces partially unpredictable output. In this document, “noise source” and “entropy source” are taken to be entropy sources

3.23

non-physical entropy source

entropy source not based on a dedicated physical system but on unpredictable parts of the environment or technical components that were not originally designed for random bit generation

Note 1 to entry: Examples can be user input or the collection of various difficult to predict system data (e.g. hard drive access times, noise from a sensor device, system interrupts) in a standard computer.

3.24

post-processing

part of a random bit generator which processes the output of a random source with the aim of removing dependencies between random bits or biases. Is often also referred as a conditioning component

3.25

random bit generator

RBG

device or algorithm designed to produce bits that appear statistically independent and unbiased

Note 1 to entry: In case of purely physical random bit generators, the existence of very small entropy defects can be permitted. Deterministic RBG constructions, on the other hand, shall offer output that is computationally indistinguishable in practice from ideally distributed data. In addition, it is worth noting that hybrid designs have advantages over both purely deterministic and purely physical designs by combining the true entropy guarantees of physical RBGs with the near-ideal output distribution of deterministic RBGs and resilience properties, for instance with regards to noise source failure.

3.26

raw random numbers

bit sequence produced internally within a random bit generator by digitization of the random noise source or detection of unpredictable events within the machine in question, before any post-processing beyond the digitization has been performed

Note 1 to entry: It should be noted that although the raw random numbers represent an early stage in random bit generation, they can already contain complicated inherent pseudo-random patterns. For instance, part of the randomness in hard drive seek times is commonly associated to chaotic turbulent air flow patterns inside the hard drive; even if one abstracts away all other features of a hard drive, it seems difficult to argue that an RBG based on this effect does not have significant internal memory. However, sources with large internal memory are notoriously difficult to properly characterise by statistical tests with realistic sample sizes. The extent to which pseudorandom patterns are exhibited by a raw random source therefore depends on the design of the entropy source and shall be considered when analysing it. Generic statistical tests can mistake pseudo-randomness for actual randomness and thus overestimate the entropy of the raw random numbers. It is for this reason primarily that it is important to understand the design of the mechanism producing the raw random numbers. This comprises influences of the digitization mechanisms itself, e.g. resolution and non-linearity of A/D converters or noise produced by amplification circuits.

3.27

security strength

largest natural number, n, such that a computationally unbounded attacker cannot distinguish with more than negligible advantage an n-bit value produced by the RBG from an n-bit value drawn uniformly at random, when given the true prior distribution of internal RBG states

Note 1 to entry: If no such number n exists, the security strength is said to be infinite.

Note 2 to entry: Only hybrid or physical random bit generators can have infinite maximal supported security strength, as deterministic random bit generators always rely on an initial seed value. It is worth noting, however, that the output of pure physical random bit generators can often be distinguished from random data in practice if the design of any conditioning steps that can be performed is known to the attacker.

3.28

Shannon entropy

<of a finite random variable X> expected value of −log2(px),wherepx is the probability of observing the realization X=x

Note 1 to entry: In other words, for a finite random variable X with range S that the Shannon entropy H(X) is given by the formula ここで, for the purposes of calculating the expected value one adopts the convention that 0*log2(0) = 0.

3.29

stationarity

property of a stochastic process whereby the joint distribution of subsequent instances of the process is time-invariant

3.30

stochastic model

partial mathematical description of a random bit generator based on at least a qualitative understanding of the entropy source which, together with possibly some data gathered empirically for parameter estimation, allows the derivation of entropy claims

Note 1 to entry: In the context of evaluating random bit generators, it is recommended but not required that the stochastic model describe the behaviour of the raw random bits. Subsequent post-processing can make it more difficult to make a convincing case that the stochastic model is in sufficient correspondence with the workings of the device to be modelled to support the entropy claims to be shown. For instance, a stochastic model applied to the output random numbers of a deterministic random bit generator will be essentially untestable statistically insofar as strong cryptographic post-processing can render even very low entropy data indistinguishable from random noise at realistic sample sizes, at least from the point of view of any adversary lacking a stochastic model of the raw random numbers.

3.31

TNRBG

non-deterministic random bit generator the security of which is based on a hardware component that has been designed explicitly to generate randomness

Note 1 to entry: TNRBG und NNRBG stand for true dedicated NRBG and non-dedicated NRBG, respectively.

3 . 32

validation authority

entity that will validate the testing results for conformance to ISO/IEC 19790

[SOURCE:ISO/IEC 19790:2012, 3.132, modified — In the definition, “this International Standard” has been changed to “ISO/IEC 19790”.]

3.33

vendor

entity, group or association that submits the cryptographic module for testing and validation

Note 1 to entry: The vendor has access to all relevant documentation and design evidence regardless if they did or did not design or develop the cryptographic module.

[SOURCE:ISO/IEC 19790:2012, 3.133]