<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Feb 18, 2014 at 12:42 PM, Philip Gladstone <span dir="ltr"><<a href="mailto:pjsg-cryptography@nospam.gladstonefamily.net" target="_blank">pjsg-cryptography@nospam.gladstonefamily.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On 2/18/14, 11:45 AM, Phillip Hallam-Baker wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
One important boundary condition is that I want the operation of the<br>
random number generator to be completely auditable so that we can tell<br>
with a very high degree of confidence that no strange business has<br>
taken place.<br>
<br>
So for example, lets take a cut and choose type protocol.<br>
<br>
What I want is a machine that I can cause to perform the random number<br>
acquisition process repeatedly without knowing whether the machine<br>
itself is being audited or not. So we have the dice roll in a<br>
transparent box 256 times and one one occasion chosen using a process<br>
that could not be predicted when the machine is configured we put a<br>
cover over the camera so the dice rolls are not observed.<br>
<br>
We check that the results are consistent with the observations from<br>
the second camera in the other 255 cases. Thus an occasional defection<br>
attack has only a 1 in 256 chance (i.e. 8 bits) of success.<br>
<br>
<br>
</blockquote></div>
Where does the random number come from that indicates which of the rolls is not observed? I suspect that you are just moving the problem around....</blockquote><div><br></div><div>That can just be any dice roll that is not observable by the recorder. There are two separate requirements here</div>
<div><br></div><div>1) A randomly assigned output.</div><div><br></div><div>2) A randomly assigned output that is not known to any other party.</div><div><br></div><div> </div></div>What does come under the rubric of 'just moving the randomness about' at the moment is the combination of the partial random inputs into a single output.<br clear="all">
<div><br></div><div>But I can generate a public/private keypair from each 128 bits of random output. And that is probably enough leverage to solve the rest of the problem.</div><div><br></div><div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br>

</div></div>