<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><font color="#000000">On Fri, Apr 22, 2016 at 9:01 AM, Tim Hollebeek <span dir="ltr"><<a href="mailto:THollebeek@trustwave.com" target="_blank">THollebeek@trustwave.com</a>></span> wrote:<br></font><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">





<div bgcolor="white" lang="EN-US" link="blue" vlink="purple">
<div>
<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif"><font color="#000000">This is why I proposed and continue to support an actual definition.  If people don’t like my definition, I’m open to improvements.  I don’t think it should
 be too hard to come up with one that excludes the four examples Doug mentioned, and I think mine currently does.</font></span></p></div></div></blockquote><div><br></div>I think we're unlikely to conclusively define entropy in a way that auditors can reasonably measure. What we want to do here is rule out solutions that are obviously wrong. How about this:<br><br>"CAs SHALL use a Certificate serialNumber greater than zero (0) containing at least 64 bits of output from a CSPRNG"<br><br>"CSPRNG: A random number generator intended for use in cryptographic system"<br><br>This rules out things like GUID, which are easy to verify as <a href="https://blogs.msdn.microsoft.com/oldnewthing/20120523-00/?p=7553">not intended for use in a cryptographic system</a>, without creating a cryptanalytic test for whether something qualifies as a CSPRNG.<br><br>That said, I still think it would be sufficient to continue to use "entropy" without further definition, and if we can't settle on a good definition soon, we should proceed with that approach.</div></div></div>