
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


</head>


<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">


Bonjour,


<div class=""><br class="">


</div>


<div class="">20 bits of entropy is the same as 20 bits unpredictable bits.</div>


<div class=""><br class="">


</div>


<div class="">Whence, 64 bits of entropy is a higher requirement than 20 bits of entropy.</div>


<div class=""><br class="">


<div class="">


<div class="">Cordialement,</div>


<div class="">Erwann Abalea</div>


</div>


<br class="">


<div>


<blockquote type="cite" class="">


<div class="">Le 15 avr. 2016 à 16:32, Ben Wilson <<a href="mailto:ben.wilson@digicert.com" class="">ben.wilson@digicert.com</a>> a écrit :</div>


<br class="Apple-interchange-newline">


<div class="">


<div class="WordSection1" style="page: WordSection1; font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255);">


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: windowtext;" class="">Forwarding<o:p class=""></o:p></span></div>


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


<a name="_MailEndCompose" class=""><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: windowtext;" class=""> </span></a></div>


<span class=""></span>


<div class="">


<div style="border-style: solid none none; border-top-color: rgb(225, 225, 225); border-top-width: 1pt; padding: 3pt 0in 0in;" class="">


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


<b class=""><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: windowtext;" class="">From:</span></b><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: windowtext;" class=""><span class="Apple-converted-space"> </span>Man


 Ho (Certizen) [<a href="mailto:manho@certizen.com" style="color: purple; text-decoration: underline;" class="">mailto:manho@certizen.com</a>]<span class="Apple-converted-space"> </span><br class="">


<b class="">Sent:</b><span class="Apple-converted-space"> </span>Thursday, April 14, 2016 7:51 PM<br class="">


<b class="">To:</b><span class="Apple-converted-space"> </span>Ben Wilson <<a href="mailto:ben.wilson@digicert.com" style="color: purple; text-decoration: underline;" class="">ben.wilson@digicert.com</a>>; Ryan Sleevi <<a href="mailto:sleevi@google.com" style="color: purple; text-decoration: underline;" class="">sleevi@google.com</a>><br class="">


<b class="">Cc:</b><span class="Apple-converted-space"> </span><a href="mailto:public@cabforum.org" style="color: purple; text-decoration: underline;" class="">public@cabforum.org</a><br class="">


<b class="">Subject:</b><span class="Apple-converted-space"> </span>Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<o:p class=""></o:p></span></div>


</div>


</div>


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


<o:p class=""> </o:p></div>


<p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 12pt; font-family: 'Times New Roman', serif;">


Ben,<br class="">


<br class="">


We had already changed our system to issue SSL certificates with 20 hexadecimal characters of at least 20-bit of entropy since 2014. I'm just wondering why the requirement is changed from "bits of entropy" to "unpredictable bits", which I don't understand the


 conversion (like "cm" to "inch" :). I don't know whether our software vendor understands it.<br class="">


<br class="">


Man<o:p class=""></o:p></p>


<div class="">


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


On 4/15/2016 4:24 AM, Ben Wilson wrote:<o:p class=""></o:p></div>


</div>


<blockquote style="margin-top: 5pt; margin-bottom: 5pt;" class="">


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


<span style="font-size: 11pt; font-family: Calibri, sans-serif;" class="">You’re right, given a randomly generated 20-byte serial number, you have 159 unpredictable bits.   </span><o:p class=""></o:p></div>


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


<span style="font-size: 11pt; font-family: Calibri, sans-serif;" class=""> </span><o:p class=""></o:p></div>


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


<b class=""><span style="font-size: 11pt; font-family: Calibri, sans-serif;" class="">From:</span></b><span style="font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span class="Apple-converted-space"> </span>Ryan Sleevi [<a href="mailto:sleevi@google.com" style="color: purple; text-decoration: underline;" class="">mailto:sleevi@google.com</a>]<span class="Apple-converted-space"> </span><br class="">


<b class="">Sent:</b><span class="Apple-converted-space"> </span>Thursday, April 14, 2016 2:03 PM<br class="">


<b class="">To:</b><span class="Apple-converted-space"> </span>Ben Wilson<span class="Apple-converted-space"> </span><a href="mailto:ben.wilson@digicert.com" style="color: purple; text-decoration: underline;" class=""><ben.wilson@digicert.com></a><br class="">


<b class="">Cc:</b><span class="Apple-converted-space"> </span>Man Ho (Certizen)<span class="Apple-converted-space"> </span><a href="mailto:manho@certizen.com" style="color: purple; text-decoration: underline;" class=""><manho@certizen.com></a>;<span class="Apple-converted-space"> </span><a href="mailto:public@cabforum.org" style="color: purple; text-decoration: underline;" class="">public@cabforum.org</a><br class="">


<b class="">Subject:</b><span class="Apple-converted-space"> </span>Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy</span><o:p class=""></o:p></div>


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


 <o:p class=""></o:p></div>


<div class="">


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


Ben:<o:p class=""></o:p></div>


<div class="">


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


 <o:p class=""></o:p></div>


</div>


<div class="">


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


Are you sure your math is correct? A serial number is 20 bytes, with the high bit needing to be 1 (for the encoding of positive INTEGERS within DER). This leaves 159 bits for entropy. So you certainly can't have more unpredictable bits than that :)<o:p class=""></o:p></div>


</div>


</div>


<div class="">


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


 <o:p class=""></o:p></div>


<div class="">


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


On Thu, Apr 14, 2016 at 12:59 PM, Ben Wilson <<a href="mailto:ben.wilson@digicert.com" target="_blank" style="color: purple; text-decoration: underline;" class="">ben.wilson@digicert.com</a>> wrote:<o:p class=""></o:p></div>


<blockquote style="border-style: none none none solid; border-left-color: rgb(204, 204, 204); border-left-width: 1pt; padding: 0in 0in 0in 6pt; margin: 5pt 0in 5pt 4.8pt;" class="">


<div class="">


<div class="">


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


<span style="font-size: 11pt; font-family: Calibri, sans-serif;" class="">Man,</span><o:p class=""></o:p></div>


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


<span style="font-size: 11pt; font-family: Calibri, sans-serif;" class="">Have you had a chance to do  further research on the capabilities of your system?   Our CA issues certificates with 32 hexadecimal characters for the serial number.  There are 4 bits


 of entropy for each hexadecimal character.  Therefore, our serial numbers have 128 bits of entropy and 16*32= 512 unpredictable bits.  An 8-hexadecimal character serial number would have 32 bits of entropy and 128 unpredictable bits.  A 20-bit entropy would


 be equal to 5 hexadecimal characters, or 80 unpredictable bits, so this seems like this is a downgrade to go to 64 unpredictable bits.  Am I right?</span><o:p class=""></o:p></div>


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


<span style="font-size: 11pt; font-family: Calibri, sans-serif;" class="">Ben</span><o:p class=""></o:p></div>


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


<a name="m_216582708830614260__MailEndCompose" class=""><span style="font-size: 11pt; font-family: Calibri, sans-serif;" class=""> </span></a><o:p class=""></o:p></div>


<div class="">


<div style="border-style: solid none none; border-top-color: rgb(225, 225, 225); border-top-width: 1pt; padding: 3pt 0in 0in;" class="">


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


<b class=""><span style="font-size: 11pt; font-family: Calibri, sans-serif;" class="">From:</span></b><span style="font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span class="Apple-converted-space"> </span>Man Ho (Certizen) [mailto:<a href="mailto:manho@certizen.com" style="color: purple; text-decoration: underline;" class="">manho@certizen.com</a>]<span class="Apple-converted-space"> </span><br class="">


<b class="">Sent:</b><span class="Apple-converted-space"> </span>Wednesday, March 23, 2016 12:27 AM<br class="">


<b class="">To:</b><span class="Apple-converted-space"> </span>Ben Wilson <<a href="mailto:ben.wilson@digicert.com" style="color: purple; text-decoration: underline;" class="">ben.wilson@digicert.com</a>>;<span class="Apple-converted-space"> </span></span><a href="mailto:public@cabforum.org" target="_blank" style="color: purple; text-decoration: underline;" class=""><span style="font-size: 11pt; font-family: Calibri, sans-serif;" class="">public@cabforum.org</span></a><span style="font-size: 11pt; font-family: Calibri, sans-serif;" class=""><br class="">


<b class="">Subject:</b><span class="Apple-converted-space"> </span>Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy</span><o:p class=""></o:p></div>


</div>


</div>


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


 <o:p class=""></o:p></div>


<p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 12pt; font-family: 'Times New Roman', serif;">


Hi all,<br class="">


<br class="">


Is the meaning of "at least 64 unpredictable bits" setting the same or a higher requirement than "at least 20 bits of entropy" ? I'm not quite sure whether our certificate generation software has this setting in itself.<br class="">


<br class="">


Cheers<br class="">


Man<o:p class=""></o:p></p>


<div class="">


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


On 3/1/2016 12:21 AM, Ben Wilson wrote:<o:p class=""></o:p></div>


</div>


<blockquote style="margin-top: 5pt; margin-bottom: 5pt;" class="">


<p style="margin-right: 0in; margin-left: 0in; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


REPLACE<span class="Apple-converted-space"> </span><o:p class=""></o:p></p>


<p style="margin-right: 0in; margin-left: 0in; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


"CAs SHOULD generate non-sequential Certificate serial numbers that exhibit at least 20 bits of entropy"<span class="Apple-converted-space"> </span><o:p class=""></o:p></p>


<p style="margin-right: 0in; margin-left: 0in; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


WITH<span class="Apple-converted-space"> </span><o:p class=""></o:p></p>


<p style="margin-right: 0in; margin-left: 0in; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


"Effective April 1, 2016, CAs SHALL use a Certificate serialNumber greater than zero (0) that contains at least 64 unpredictable bits."<span class="Apple-converted-space"> </span><o:p class=""></o:p></p>


</blockquote>


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


 <o:p class=""></o:p></div>


</div>


</div>


<p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 12pt; font-family: 'Times New Roman', serif;">


<br class="">


_______________________________________________<br class="">


Public mailing list<br class="">


<a href="mailto:Public@cabforum.org" style="color: purple; text-decoration: underline;" class="">Public@cabforum.org</a><br class="">


<a href="https://cabforum.org/mailman/listinfo/public" target="_blank" style="color: purple; text-decoration: underline;" class="">https://cabforum.org/mailman/listinfo/public</a><o:p class=""></o:p></p>


</blockquote>


</div>


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


 <o:p class=""></o:p></div>


</div>


</blockquote>


<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;" class="">


<o:p class=""> </o:p></div>


</div>


<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255); float: none; display: inline !important;" class="">_______________________________________________</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255);" class="">


<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255); float: none; display: inline !important;" class="">Public


 mailing list</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255);" class="">


<a href="mailto:Public@cabforum.org" style="color: purple; text-decoration: underline; font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255);" class="">Public@cabforum.org</a><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255);" class="">


<a href="https://cabforum.org/mailman/listinfo/public" style="color: purple; text-decoration: underline; font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255);" class="">https://cabforum.org/mailman/listinfo/public</a><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255);" class="">


</div>


</blockquote>


</div>


<br class="">


</div>


</body>


</html>