<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Dec 15, 2015 at 5:59 AM, sebastien riou <span dir="ltr"><<a href="mailto:seb.riou@nimp.co.uk" target="_blank">seb.riou@nimp.co.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">> On Dec 13, 2015, at 1:19 PM, Henry Baker <<a href="mailto:hbaker1@pipeline.com">hbaker1@pipeline.com</a>> wrote:<br>
><br>
>> At 11:48 AM 12/13/2015, Bill Cox wrote:<br>
>>> On Sat, Dec 12, 2015 at 11:19 PM, Ron Garret <<a href="mailto:ron@flownet.com">ron@flownet.com</a>> wrote:<br>
>>><br>
>>>> Perhaps such a device has already been built & tested?<br>
>>><br>
>>> Probably not.  The reason is that there are much easier ways to avail yourself of (essentially) the same physics.  Thermal noise, for example, gives you just as much â€œtrue randomness† as quantum measurements (because thermal noise is, at root, a quantum effect) but it's much (much!) easier to obtain.<br>
>>><br>
>>> If I understand their technology correctly, this company has been selling them for years.<br>
>>><br>
>>> <a href="http://www.idquantique.com/random-number-generation/quantis-random-number-generator/" rel="noreferrer" target="_blank">http://www.idquantique.com/random-number-generation/quantis-random-number-generator/</a><br>
>><br>
>> Very interesting; ~ $1100 - $3300 for 4Mbits/sec to 16Mbits/sec.<br>
>><br>
>> 9 hours to fill up a 64GByte USB flash drive @ 16Mbits/sec.<br>
>><br>
>> Next question: how in the world could such a device ever be certified not to have a 'quantum insert' from our TAO friends?  The sales of these devices probably number in the tens per month, so purchasing even *one* would raise a flag at GCHQ.<br>
>><br>
>> After all, at $1/GB, you could put 3.3TBytes into a $3300 device; how could one ever certify that a device that incorporate 3TBytes was "truly random" ?<br>
>><br>
>> Even w/o memory, a microscopic radio receiver could modify the device output to be no longer random, or an undocumented USB command could do the same thing.<br>
>><br>
>> And you thought that testing a VW emissions control system was hard!<br>
>><br>
><br>
> This is exactly right.  The quantis device is pure marketing hype, designed for the PHB who needs to be able to say that s/he’s using something “certified.”  It might work as advertised, or it might not.  The only way to tell is 1) trust the certification or 2) audit the device yourself.  And option 1 requires an awful lot of trust: you have to trust not only that the people doing the certification knew what they were doing, but also that the particular device you’re using was constructed according to the certified design.<br>
><br>
> It’s really all marketing hype.  A properly configured op-amp will give you every bit as much true randomness as the quantis device for a tiny, tiny fraction of the cost, and will be much more difficult to attack.  I can think of a dozen way the quantis device could be compromised, but to attack a thermal noise source you would have to do something like dunk it in liquid nitrogen.<br>
><br>
> rg<br>
><br>
<br>
</span>For those who can't afford idquantique stuff and can't want higher<br>
rates than few kb/s, there are methods to generates hundreds of mega<br>
bytes per second on FPGAs. I came up with one and implemented it on a<br>
25$ board from Lattice, in the end the FTDI chip used to do the USB<br>
connection was the bottleneck, even after applying AES128 CMAC on 3<br>
blocks to output 1 (more info on <a href="http://kidekin.nimp.co.uk/" rel="noreferrer" target="_blank">http://kidekin.nimp.co.uk/</a> , I can<br>
share the source on request). A 100$ spartan6 board programming<br>
directly a SDcard may well take less than 9 hours, basically you can<br>
go as fast as the write speed of the card because you can add an awful<br>
lot of TRNGs in parallel in a single spartan6, potentially each of<br>
them of a different type...<br>
With FPGAs you get not only speed but also a pretty good garantee that<br>
your numbers are not compromised in some way, assuming you generate<br>
your own bitfile (and review the source or write your own). Sure<br>
that's some work but that's a piece of cake compared to the analog<br>
approaches, you don't need to do your own PCB for one...<br>
<br>
If the purpose of programming flash drives is to use as one time pad,<br>
you can even write 2 or more cards at the same time if you have some<br>
soldering skills :-)<br>
<span class=""><font color="#888888"><br>
Sebastien<br>
</font></span><div class=""><div class="h5">_______________________________________________<br>
The cryptography mailing list<br>
<a href="mailto:cryptography@metzdowd.com">cryptography@metzdowd.com</a><br>
<a href="http://www.metzdowd.com/mailman/listinfo/cryptography" rel="noreferrer" target="_blank">http://www.metzdowd.com/mailman/listinfo/cryptography</a></div></div></blockquote></div><br><span style="font-size:12.8px">I hope this isn't too off-topic, but for somebody looking for open-source, hardware TRNG for real-world server use, the selection is abysmally low. In fact I can only find two: a single person in San Francisco </span><a href="https://www.tindie.com/products/WaywardGeek/infinite-noise/" target="_blank" style="font-size:12.8px">making them by hand</a><span style="font-size:12.8px">, and the </span><a href="http://onerng.info/" target="_blank" style="font-size:12.8px">onerng</a><span style="font-size:12.8px">, which became available just </span><i style="font-size:12.8px">this month!</i><div style="font-size:12.8px"><i><br></i></div><div style="font-size:12.8px">I don't know how practical Mr. Baker's initial design would be to implement on silicon, but my hope is the spitballing will eventually trickle down into additional open-source TRNG designs.</div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">Stephen Wood</div></div>
</div></div>