<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:"Calibri","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
p.msonormal0, li.msonormal0, div.msonormal0
        {mso-style-name:msonormal;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.im
        {mso-style-name:im;}
span.EmailStyle23
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle24
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle25
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle26
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle27
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I’m monitoring that thread and approve of that language, though my preference would be for inclusion of a simple definition of CSPRNG, just for clarity.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Ben Wilson [mailto:ben.wilson@digicert.com]
<br>
<b>Sent:</b> Tuesday, May 03, 2016 3:50 PM<br>
<b>To:</b> Tim Hollebeek; Erwann Abalea<br>
<b>Cc:</b> Ryan Sleevi; CABFPub<br>
<b>Subject:</b> RE: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">What are your thoughts about language suggested on the Mozilla Dev Security Policy list under the topic, Undisclosed CA Certificates, “at least 64 bits in the certificate
 serial number SHALL be generated using a CSPRNG”?<o:p></o:p></span></p>
<p class="MsoNormal"><a name="_MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></a></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> Tim Hollebeek [<a href="mailto:THollebeek@trustwave.com">mailto:THollebeek@trustwave.com</a>]
<br>
<b>Sent:</b> Tuesday, May 3, 2016 12:33 PM<br>
<b>To:</b> Ben Wilson <<a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a>>; Erwann Abalea <<a href="mailto:Erwann.Abalea@docusign.com">Erwann.Abalea@docusign.com</a>><br>
<b>Cc:</b> Ryan Sleevi <<a href="mailto:sleevi@google.com">sleevi@google.com</a>>; CABFPub <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>
<b>Subject:</b> RE: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Ben,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">The reason I really hate the use of the word entropy is because ANS X9.82 has at least 10 different defined terms for various concepts related to entropy and
 entropy measurement, and that’s just in order to <b>start</b> having a reasonable discussion about the role of entropy in CSPRNGs.  When people attempt to develop audit criteria based on entropy, the results are always amusing, but the purpose of the CA/Browser
 Forum is not to provide me with amusement (a shortcoming that hopefully the Governance Reform Working Group can address soon).<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">FWIW, their definition of pseudorandom is:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">“A process (or data produced by a process) is said to be pseudorandom when the outcome is deterministic, yet also effectively random as long as the internal
 action of the process is hidden from observation.  For cryptographic purposes, “effectively” means ‘within the limits of the intended security<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">strength.’”<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">The exact details of the definition don’t matter much, since all the bad methods will fail to meet any reasonable definition that is reasonably applied.  But
 the use of cryptographic functions and unpredictability by attackers are in my opinion the two fundamental features of any non-bad algorithm.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">-Tim<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Ben Wilson [<a href="mailto:ben.wilson@digicert.com">mailto:ben.wilson@digicert.com</a>]
<br>
<b>Sent:</b> Tuesday, April 26, 2016 10:57 AM<br>
<b>To:</b> Erwann Abalea; Tim Hollebeek<br>
<b>Cc:</b> Ryan Sleevi; CABFPub<br>
<b>Subject:</b> RE: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">What about,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>
<p class="MsoPlainText">"For certificates having a notBefore date after 1 July 2016, CAs SHALL use a Certificate serialNumber greater than zero (0) that exhibits at least 64 bits of entropy (i.e. randomness or unpredictability)."<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">?<o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> Erwann Abalea [<a href="mailto:Erwann.Abalea@docusign.com">mailto:Erwann.Abalea@docusign.com</a>]
<br>
<b>Sent:</b> Tuesday, April 26, 2016 2:47 AM<br>
<b>To:</b> Tim Hollebeek <<a href="mailto:THollebeek@trustwave.com">THollebeek@trustwave.com</a>><br>
<b>Cc:</b> Ryan Sleevi <<a href="mailto:sleevi@google.com">sleevi@google.com</a>>; Ben Wilson <<a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a>>; CABFPub <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>
<b>Subject:</b> Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">That’s a good start :) <o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I find it unfortunate that we need to define in BRs what a CSPRNG is, though.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal">Cordialement,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Erwann Abalea<o:p></o:p></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<p class="MsoNormal">Le 19 avr. 2016 à 16:01, Tim Hollebeek <<a href="mailto:THollebeek@trustwave.com">THollebeek@trustwave.com</a>> a écrit :<o:p></o:p></p>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">This is actually a pet peeve of mine that I’d like to fix, though unfortunately it is hard to fix.  One of the first security projects I was ever involved in
 involved exploiting bad random number generators to predict who would win a poker hand based on just your own hole cards and the flop (</span><a href="http://scanmail.trustwave.com/?c=4062&d=6YCp1zyHVD3ceTEbakuCEzNqMJTA02DN8K-JEMTo-A&s=5&u=https%3a%2f%2fwww%2ecigital%2ecom%2fpapers%2fdownload%2fdeveloper%5fgambling%2ephp"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">https://www.cigital.com/papers/download/developer_gambling.php</span></a><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">).</span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Various security standards have tried with varying degrees of success to describe entropy requirements with generally poor results.  A first stab is:</span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">---</span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">A blah blah blah (serial number, challenge, etc) must be generated using at least N bits from a cryptographically strong pseudorandom number generator.</span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Definition (Cryptographically strong pseudorandom number generator): An algorithm that uses cryptographic functions to generate pseudorandom numbers that cannot
 be predicted by anyone who does not have knowledge of the internal data describing the current state of the generator.</span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">---</span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">It’s not perfect, because you can use cryptographic functions and still build a bad PRNG (hello NSA!), but at least it rules out all the really bad ones like
 rand() that don’t use any cryptographic functions at all, and should allow all existing and future secure PRNGs.</span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">-Tim</span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">
</span><a href="mailto:public-bounces@cabforum.org"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">public-bounces@cabforum.org</span></a><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> [</span><a href="mailto:public-bounces@cabforum.org"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">mailto:public-bounces@cabforum.org</span></a><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">]
<b>On Behalf Of </b>Ryan Sleevi<br>
<b>Sent:</b> Tuesday, April 19, 2016 9:42 AM<br>
<b>To:</b> Ben Wilson<br>
<b>Cc:</b> CABFPub<br>
<b>Subject:</b> Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy</span><o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<div>
<p class="MsoNormal">Ben, is there any thought further on 'unpredictable bits'?<o:p></o:p></p>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">While I realize Richard disagreed, I do think it creates a possibility for a CA to argue that they're using unpredictable bits from, say, a Microsoft GUID generator, but such bits are not unpredictable. My hope would be to provide objective
 and unambiguous criteria, since, as we've seen from this discussion, 'unpredictable bits' and 'entropy' seem to cause some confusion.<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal"> <o:p></o:p></p>
<div>
<p class="MsoNormal">On Tue, Apr 19, 2016 at 6:24 AM, Ben Wilson <<a href="mailto:ben.wilson@digicert.com" target="_blank">ben.wilson@digicert.com</a>> wrote:<o:p></o:p></p>
<p class="MsoNormal">Then I'll move forward with the  ballot if we have two endorsers.<br>
<br>
<span class="im">-----Original Message-----</span><br>
<span class="im">From: Peter Bowen [mailto:</span><a href="mailto:pzb@amzn.com">pzb@amzn.com</a><span class="im">]</span><br>
<span class="im">Sent: Monday, April 18, 2016 9:16 PM</span><br>
<span class="im">To: Ben Wilson <</span><a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a><span class="im">></span><o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">Cc: CABFPub <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>
Subject: Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<br>
<br>
I looked at certificates across all CT logs that had notBefore dates in March 2016.  Only 549 unique certificates had more than 20 bits but less than 61 bits in the serial number.  They were spread among many CAs.  >From the looks of it, I’m guessing that some
 CAs using a random number between 0 and N (probably 2^64 or 2^128) and some percentage of the time the value chosen is less than 2^61.  I used 2^61 as that is 16 hex digits which is a good approximation of 64-bits.<br>
<br>
So, I would say that almost everyone is using at least 64-bit serial numbers already.<br>
<br>
> On Apr 18, 2016, at 3:45 PM, Ben Wilson <<a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a>> wrote:<br>
><br>
> On the cablint report for the 20 bits of entropy, <a href="http://scanmail.trustwave.com/?c=4062&d=6YCp1zyHVD3ceTEbakuCEzNqMJTA02DN8PrfFMDl9w&s=5&u=https%3a%2f%2fcrt%2esh%2f%3fcablint%3d38" target="_blank">
https://crt.sh/?cablint=38</a>, there  are 20 certificates that were listed.  If this changes to 64 bits, how many more certificates will be on the list?<br>
><br>
> From: <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a>] On Behalf Of Ben Wilson<br>
> Sent: Monday, April 18, 2016 10:25 AM<br>
> To: CABFPub <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>
> Subject: [cabfpub] FW: Pre-Ballot 164 - Certificate Serial Number Entropy<br>
><br>
> Forwarding<br>
><br>
> From: Kane York [mailto:<a href="mailto:kanepyork@gmail.com">kanepyork@gmail.com</a>]<br>
> Sent: Monday, April 18, 2016 10:23 AM<br>
> To: Ben Wilson <<a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a>>; Erwann Abalea <<a href="mailto:Erwann.Abalea@docusign.com">Erwann.Abalea@docusign.com</a>><br>
> Cc: <a href="mailto:questions@cabforum.org">questions@cabforum.org</a><br>
> Subject: Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<br>
><br>
><br>
> On Fri, Apr 15, 2016 at 7:52 AM Ben Wilson <<a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a>> wrote:<br>
> I didn’t think it was that simple.  For instance, see <a href="http://scanmail.trustwave.com/?c=4062&d=6YCp1zyHVD3ceTEbakuCEzNqMJTA02DN8PnaEJGzrA&s=5&u=https%3a%2f%2fen%2ewikipedia%2eorg%2fwiki%2fPassword%5fstrength" target="_blank">
https://en.wikipedia.org/wiki/Password_strength</a><br>
><br>
> From: Erwann Abalea [mailto:<a href="mailto:Erwann.Abalea@docusign.com">Erwann.Abalea@docusign.com</a>]<br>
> Sent: Friday, April 15, 2016 8:44 AM<br>
> To: Ben Wilson <<a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a>><br>
> Cc: CABFPub <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>
><br>
> Subject: Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<br>
><br>
> Bonjour,<br>
><br>
> 20 bits of entropy is the same as 20 bits unpredictable bits.<br>
><br>
> Whence, 64 bits of entropy is a higher requirement than 20 bits of entropy.<br>
><br>
> Cordialement,<br>
> Erwann Abalea<br>
><br>
> No, it definitely is that simple.<br>
><br>
> I think the confusion here is the definition of "hex characters".<br>
><br>
> > Our CA issues certificates with 32 hexadecimal characters for the serial number.<br>
><br>
> This is not possible - you cannot have 32 ASCII characters in the serial number.<br>
> The most likely truth given that explanation is that you have 16 fully random bytes. Which would be 16 * 8 = 128 random bits, satisfying the entropy requirements.<br>
><br>
> 3 fully random bytes would satisfy the 20-bit requirement.<br>
> 6 fully random hexadecimal ASCII characters encoded in the serial number would satisfy the 20-bit requirement.<br>
><br>
> 8 fully random bytes is required to satisfy the 64-bit requirement.<br>
> 16 bytes with 4 bits of entropy each, which ASCII-encoded hexadecimal would be, would satisfy the entropy requirement and leave you 3.875 bytes left over for other information.<br>
><br>
><br>
> Le 15 avr. 2016 à 16:32, Ben Wilson <<a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a>> a écrit :<br>
><br>
> Forwarding<br>
><br>
> From: Man Ho (Certizen) [mailto:<a href="mailto:manho@certizen.com">manho@certizen.com</a>]<br>
> Sent: Thursday, April 14, 2016 7:51 PM<br>
> To: Ben Wilson <<a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a>>; Ryan Sleevi <<a href="mailto:sleevi@google.com">sleevi@google.com</a>><br>
> Cc: <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>
> Subject: Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<br>
><br>
> Ben,<br>
><br>
> We had already changed our system to issue SSL certificates with 20 hexadecimal characters of at least 20-bit of entropy since 2014. I'm just wondering why the requirement is changed from "bits of entropy" to "unpredictable bits", which I don't understand
 the conversion (like "cm" to "inch" :). I don't know whether our software vendor understands it.<br>
><br>
> Man<br>
><br>
> On 4/15/2016 4:24 AM, Ben Wilson wrote:<br>
> You’re right, given a randomly generated 20-byte serial number, you have 159 unpredictable bits.<br>
><br>
> From: Ryan Sleevi [mailto:<a href="mailto:sleevi@google.com">sleevi@google.com</a>]<br>
> Sent: Thursday, April 14, 2016 2:03 PM<br>
> To: Ben Wilson <<a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a>><br>
> Cc: Man Ho (Certizen) <<a href="mailto:manho@certizen.com">manho@certizen.com</a>>;
<a href="mailto:public@cabforum.org">public@cabforum.org</a><br>
> Subject: Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<br>
><br>
> Ben:<br>
><br>
> Are you sure your math is correct? A serial number is 20 bytes, with the high bit needing to be 1 (for the encoding of positive INTEGERS within DER). This leaves 159 bits for entropy. So you certainly can't have more unpredictable bits than that :)<br>
><br>
> On Thu, Apr 14, 2016 at 12:59 PM, Ben Wilson <<a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a>> wrote:<br>
> Man,<br>
> Have you had a chance to do  further research on the capabilities of your system?   Our CA issues certificates with 32 hexadecimal characters for the serial number.  There are 4 bits of entropy for each hexadecimal character.  Therefore, our serial numbers
 have 128 bits of entropy and 16*32= 512 unpredictable bits.  An 8-hexadecimal character serial number would have 32 bits of entropy and 128 unpredictable bits.  A 20-bit entropy would be equal to 5 hexadecimal characters, or 80 unpredictable bits, so this
 seems like this is a downgrade to go to 64 unpredictable bits.  Am I right?<br>
> Ben<br>
><br>
> From: Man Ho (Certizen) [mailto:<a href="mailto:manho@certizen.com">manho@certizen.com</a>]<br>
> Sent: Wednesday, March 23, 2016 12:27 AM<br>
> To: Ben Wilson <<a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a>>;
<a href="mailto:public@cabforum.org">public@cabforum.org</a><br>
> Subject: Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<br>
><br>
> Hi all,<br>
><br>
> Is the meaning of "at least 64 unpredictable bits" setting the same or a higher requirement than "at least 20 bits of entropy" ? I'm not quite sure whether our certificate generation software has this setting in itself.<br>
><br>
> Cheers<br>
> Man<br>
><br>
> On 3/1/2016 12:21 AM, Ben Wilson wrote:<br>
> REPLACE<br>
> "CAs SHOULD generate non-sequential Certificate serial numbers that exhibit at least 20 bits of entropy"<br>
> WITH<br>
> "Effective April 1, 2016, CAs SHALL use a Certificate serialNumber greater than zero (0) that contains at least 64 unpredictable bits."<br>
><br>
><br>
> _______________________________________________<br>
> Public mailing list<br>
> <a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
> <a href="http://scanmail.trustwave.com/?c=4062&d=6YCp1zyHVD3ceTEbakuCEzNqMJTA02DN8K-KFcHm_g&s=5&u=https%3a%2f%2fcabforum%2eorg%2fmailman%2flistinfo%2fpublic" target="_blank">
https://cabforum.org/mailman/listinfo/public</a><br>
><br>
><br>
><br>
> _______________________________________________<br>
> Public mailing list<br>
> <a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
> <a href="http://scanmail.trustwave.com/?c=4062&d=6YCp1zyHVD3ceTEbakuCEzNqMJTA02DN8K-KFcHm_g&s=5&u=https%3a%2f%2fcabforum%2eorg%2fmailman%2flistinfo%2fpublic" target="_blank">
https://cabforum.org/mailman/listinfo/public</a><br>
><br>
> _______________________________________________<br>
> Public mailing list<br>
> <a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
> <a href="http://scanmail.trustwave.com/?c=4062&d=6YCp1zyHVD3ceTEbakuCEzNqMJTA02DN8K-KFcHm_g&s=5&u=https%3a%2f%2fcabforum%2eorg%2fmailman%2flistinfo%2fpublic" target="_blank">
https://cabforum.org/mailman/listinfo/public</a><br>
> _______________________________________________<br>
> Public mailing list<br>
> <a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
> <a href="http://scanmail.trustwave.com/?c=4062&d=6YCp1zyHVD3ceTEbakuCEzNqMJTA02DN8K-KFcHm_g&s=5&u=https%3a%2f%2fcabforum%2eorg%2fmailman%2flistinfo%2fpublic" target="_blank">
https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="http://scanmail.trustwave.com/?c=4062&d=6YCp1zyHVD3ceTEbakuCEzNqMJTA02DN8K-KFcHm_g&s=5&u=https%3a%2f%2fcabforum%2eorg%2fmailman%2flistinfo%2fpublic" target="_blank">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></p>
</div>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div class="MsoNormal" align="center" style="text-align:center">
<hr size="5" width="100%" align="center">
</div>
<p class="MsoNormal"><span style="font-size:7.5pt;font-family:"Arial","sans-serif";color:gray"><br>
This transmission may contain information that is privileged, confidential, and/or exempt from disclosure under applicable law. If you are not the intended recipient, you are hereby notified that any disclosure, copying, distribution, or use of the information
 contained herein (including any reliance thereon) is strictly prohibited. If you received this transmission in error, please immediately contact the sender and destroy the material in its entirety, whether in electronic or hard copy format.</span><o:p></o:p></p>
</div>
<p class="MsoNormal">_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="http://scanmail.trustwave.com/?c=4062&d=6YCp1zyHVD3ceTEbakuCEzNqMJTA02DN8K-KFcHm_g&s=5&u=https%3a%2f%2fcabforum%2eorg%2fmailman%2flistinfo%2fpublic">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></p>
</div>
</blockquote>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div class="MsoNormal" align="center" style="text-align:center">
<hr size="5" width="100%" align="center">
</div>
<p class="MsoNormal"><span style="font-size:7.5pt;font-family:"Arial","sans-serif";color:gray"><br>
This transmission may contain information that is privileged, confidential, and/or exempt from disclosure under applicable law. If you are not the intended recipient, you are hereby notified that any disclosure, copying, distribution, or use of the information
 contained herein (including any reliance thereon) is strictly prohibited. If you received this transmission in error, please immediately contact the sender and destroy the material in its entirety, whether in electronic or hard copy format.</span><o:p></o:p></p>
</div>
<br>
<hr>
<font face="Arial" color="Gray" size="1"><br>
This transmission may contain information that is privileged, confidential, and/or exempt from disclosure under applicable law. If you are not the intended recipient, you are hereby notified that any disclosure, copying, distribution, or use of the information
 contained herein (including any reliance thereon) is strictly prohibited. If you received this transmission in error, please immediately contact the sender and destroy the material in its entirety, whether in electronic or hard copy format.<br>
</font>
</body>
</html>