<div dir="ltr">Is there a reason for the change from "entropy" to "unpredictable bits"<div><br></div><div>Would you be opposed to "64 bits of random data from a cryptographically strong random number generator"?</div><div><br></div><div>The concern I have with the language change is that while "entropy" is arguably less ambiguous, I fear "unpredictable bits" will create a situation where a CA says "No one knows our [deterministic] algorithm, therefore it's unpredictable"</div><div><br></div><div>I admit, I'm not terribly thrilled with my rewrite either, because I don't think it should be required to use an RNG on an HSM, for example (that's arguably overkill), but I do want to make sure that the source of entropy is cryptographically strong (thus ruling out Microsoft's GUIDs, crappy RNGs, etc)</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 26, 2016 at 1:49 PM, Ben Wilson <span dir="ltr"><<a href="mailto:ben.wilson@digicert.com" target="_blank">ben.wilson@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><div><p><strong><span style="font-weight:normal">For discussion:<u></u><u></u></span></strong></p><p><strong>Pre-Ballot 164 - Certificate Serial Number Entropy</strong> <u></u><u></u></p><p>-- Motion Begins -- <u></u><u></u></p><p>In Section 7.1 of the Baseline Requirements, <u></u><u></u></p><p>REPLACE <u></u><u></u></p><p>"CAs SHOULD generate non-sequential Certificate serial numbers that exhibit at least 20 bits of entropy" <u></u><u></u></p><p>WITH <u></u><u></u></p><p>"Effective April 1, 2016, CAs SHALL use a Certificate serialNumber greater than zero (0) that contains at least 64 unpredictable bits." <u></u><u></u></p><p>-- Motion Ends -- <u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p></div></div><br>_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
<br></blockquote></div><br></div>