不确定这是否是正确的论坛,我很确定他之前一定已经回答过(我搜索了很多,但我没有找到明确的答案)。
Linux 随机数生成器 (/dev/random和/dev/urandom) 是否符合任何行业标准?更具体地说,如果我的应用程序使用/dev/random,我是否可以遵守要求所使用的随机数生成器满足某些标准的法规?
例如,如果我的应用程序使用/dev/random,我可以声明随机数符合 NIST SP 800-90A DRGB 吗?
抱歉,如果这是题外话或明显,但正如我所说,我无法在任何地方找到明确的答案。
dev/random 甚至与 NIST SP 800-90A DRGB 完全不同。如果您想声称符合 NIST SP 800-90A DRGB,请聘请测试实验室来测试您的 DRBG,并将结果提交给 NIST 的密码算法验证计划 ( http://csrc.nist.gov/groups/STM/cavp/index .html)然后它将最终出现在此列表中:http ://csrc.nist.gov/groups/STM/cavp/documents/drbg/drbgval.html
如果我们看一下man页面,random我们会得到以下信息:
随机数生成器将来自设备驱动程序和其他来源的环境噪声收集到一个熵池中。生成器还保持对熵池中噪声位数的估计。从这个熵池中创建随机数。
在底部,我们看到:
SEE ALSO
getrandom(2), mknod(1)
RFC 1750, "Randomness Recommendations for Security"
RFC1750 只是对加密安全随机数生成 (CSRNG) 的建议。/dev/random 被认为是加密安全的,但它不遵循 NIST SP 800-90A 标准。据我所知,也没有任何其他标准。