书 书 书犐犆犛 ３５ ． ０３０ 犆犆犛犔 ８０ 中华人民共和国密码行业标准 犌犕 ／ 犜 ０１０５ — ２０２１ 软件随机数发生器设计指南 犇犲狊犻犵狀犵狌犻犱犲犳狅狉狊狅犳狋狑犪狉犲犫犪狊犲犱狉犪狀犱狅犿狀狌犿犫犲狉犵犲狀犲狉犪狋狅狉狊 ２０２１  １０  １８ 发布 ２０２２  ０５  ０１ 实施 国家密码管理局 发布书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ３ …………………………………………………………………………………………………… ５ 　 软件随机数发生器设计 ３ ………………………………………………………………………………… 　 ５．１ 　 基本模型 ３ …………………………………………………………………………………………… 　 ５．２ 　 熵源 ４ ………………………………………………………………………………………………… 　 ５．３ 　 熵池 ５ ………………………………………………………………………………………………… 　 ５．４ 　 熵估计 ５ ……………………………………………………………………………………………… 　 ５．５ 　 健康测试 ５ …………………………………………………………………………………………… 　 ５．６ 　 ＤＲＮＧ ６ ……………………………………………………………………………………………… ６ 　 安全分级方法 ７ …………………………………………………………………………………………… 　 ６．１ 　 概述 ７ ………………………………………………………………………………………………… 　 ６．２ 　 ＧＢ ／ Ｔ３７０９２ 安全等级一级 ８ ………………………………………………………………………… 　 ６．３ 　 ＧＢ ／ Ｔ３７０９２ 安全等级二级 ８ ………………………………………………………………………… ７ 　 实现 ８ ……………………………………………………………………………………………………… 　 ７．１ 　 通用 ８ ………………………………………………………………………………………………… 　 ７．２ 　 关键安全参数定义 ８ ………………………………………………………………………………… 　 ７．３ 　 熵源独占性 ８ ………………………………………………………………………………………… 附录 Ａ （ 资料性 ） 　 熵源和熵池结构示例 ９ ………………………………………………………………… 附录 Ｂ （ 规范性 ） 　 基于 ＳＭ３ 算法的 ＲＮＧ 设计 １１ ………………………………………………………… 附录 Ｃ （ 资料性 ） 　 熵估计方法 １６ …………………………………………………………………………… 附录 Ｄ （ 规范性 ） 　 连续健康测试方法 ２０ …………………………………………………………………… 附录 Ｅ （ 规范性 ） 　 基于 ＳＭ４ 算法的 ＲＮＧ 设计 ２３ ………………………………………………………… 参考文献 ２９ …………………………………………………………………………………………………… Ⅰ 犌犕 ／ 犜 ０１０５ — ２０２１前 　　 言 　　 本文件按照 ＧＢ ／ Ｔ１．１ — ２０２０ 《 标准化工作导则 　 第 １ 部分 ： 标准化文件的结构和起草规则 》 的规定起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别专利的责任 。 本文件由密码行业标准化技术委员会提出并归口 。 本文件起草单位 ： 中国科学院数据与通信保护研究教育中心 、 中国科学院软件研究所 、 浙江大学 、 深圳技术大学 、 深圳市纽创信安科技开发有限公司 、 成都卫士通信息产业股份有限公司 、 中国科学技术大学网络空间安全学院 、 成都信息工程大学 、 中国金融认证中心 、 北京宏思电子技术有限公司 、 北京智芯微电子科技有限公司 、 智巡密码 （ 上海 ） 检测技术有限公司 。 本文件主要起草人 ： 马原 、 吕娜 、 陈华 、 沈海斌 、 郑 窻 昱 、 陈天宇 、 张翌维 、 樊俊锋 、 林 瞡 锵 、 刘攀 、 吴鑫莹 、 张立廷 、 吴震 、 王飞宇 、 张文婧 、 胡晓波 、 范丽敏 、 韩玮 。 Ⅲ 犌犕 ／ 犜 ０１０５ — ２０２１引 　　 言 随机数的质量直接影响到密钥生成 、 数字签名以及其他密码算法和协议的实际安全性 。 随着软件密码模块使用越来越广泛 ， 其中的随机数发生器设计备受关注 。 本文件为软件随机数发生器的设计提供了通用的基本模型 ， 描述了其基本部件的设计指导和建议 ， 以指导软件随机数发生器的设计者 、 开发者和测试者 。 Ⅳ 犌犕 ／ 犜 ０１０５ — ２０２１软件随机数发生器设计指南 １ 　 范围 本文件给出了软件随机数发生器设计的基本模型 、 基本部件的设计指南以及安全分级方法 ， 并在附 录中给出了基于 ＳＭ３ 算法和基于 ＳＭ４ 算法的设计实例 。 本文件适用于软件随机数发生器的设计 、 开发 、 检测和评估 。 ２ 　 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。 其中 ， 注日期的引用文 件 ， 仅该日期对应的版本适用于本文件 ； 不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于 本文件 。 ＧＢ ／ Ｔ１５８５２．１ 　 信息技术 　 安全技术 　 消息鉴别码 　 第 １ 部分 ： 采用分组密码的机制 ＧＢ ／ Ｔ１７９６４ 　 信息安全技术 　 分组密码算法的工作模式 ＧＢ ／ Ｔ３２９０５ 　 信息安全技术 　 ＳＭ３ 密码杂凑算法 ＧＢ ／ Ｔ３２９０７ 　 信息安全技术 　 ＳＭ４ 分组密码算法 ＧＢ ／ Ｔ３２９１５ — ２０１６ 　 信息安全技术 　 二元序列随机性检测方法 ＧＢ ／ Ｔ３７０９２ — ２０１８ 　 信息安全技术 　 密码模块安全要求 ＧＭ ／ Ｚ４００１ 　 密码术语 ３ 　 术语和定义 ＧＢ ／ Ｔ３２９１５ — ２０１６ 、 ＧＢ ／ Ｔ３７０９２ — ２０１８ 和 ＧＭ ／ Ｚ４００１ 界定的以及下列术语和定义适用于本 文件 。 ３ ． １ 　 熵 　 犲狀狋狉狅狆狔 对一个封闭系统的无序性 、 随机性或变化性等状态的度量 。 注 ： 随机变量 犡 的熵是对通过观测 犡 所获得信息量的一个数学度量 。 ３ ． ２ 　 熵源 　 犲狀狋狉狅狆狔狊狅狌狉犮犲 产生输出的部件 、 设备或事件 。 当该输出以某种方法捕获和处理时 ， 产生包含熵的比特串 。 ３ ． ３ 　 已知答案测试 　 犽狀狅狑狀犪狀狊狑犲狉狋犲狊狋 一种测试确定性机制的方法 ， 即通过该机制处理给定的输入 ， 然后将所得到的输出与已知值进行 比较 。 ３ ． ４ 　 熵池 　 犲狀狋狉狅狆狔狆狅狅犾 临时保存熵的存储区域 。 １ 犌犕 ／ 犜 ０１０５ — ２０２１３ ． ５ 　 最小熵 　 犿犻狀犲狀狋狉狅狆狔 熵的下界 ， 是对确定样本熵最坏情况的估值 。 注 ： 如果 犽 为最大值 ， 使得 犘 （ 犡 ＝ 狓 ） ≤ ２ － 犽 ， 那么比特串 犡 （ 或更准确地说 ， 是形成此类随机比特串的相应的随机变 量 ） 的最小熵为 犽 。 也就是说 ， 犡 至少包含 犽 比特的熵或随机性 。 ３ ． ６ 　 随机数发生器 　 狉犪狀犱狅犿狀狌犿犫犲狉犵犲狀犲狉犪狋狅狉 ； 犚犖犌 产生随机二元序列的器件或程序 。 ［ 来源 ： ＧＢ ／ Ｔ３２９１５ — ２０１６ ， ２．２ ］ ３ ． ７ 　 种子 　 狊犲犲犱 用作随机数发生器的输入的比特串 。 ３ ． ８ 　 重播种函数 　 狉犲狊犲犲犱犳狌狀犮狋犻狅狀 一种特定的内部状态转移函数 ， 该函数在提供新种子值的情况下更新内部状态 。 ３ ． ９ 　 关键安全参数 　 犮狉犻狋犻犮犪犾狊犲犮狌狉犻狋狔狆犪狉犪犿犲狋犲狉 与安全相关的秘密信息 ， 这些信息被泄露或被修改后会危及密码模块的安全性 。 注 ： 关键安全参数可以是明文形式的也可以是经过加密的 。 ［ 来源 ： ＧＢ ／ Ｔ３７０９２ — ２０１８ ， ３．３ ］ ３ ． １０ 　 确定性随机数发生器 　 犱犲狋犲狉犿犻狀犻狊狋犻犮狉犪狀犱狅犿狀狌犿犫犲狉犵犲狀犲狉犪狋狅狉 ； 犇犚犖犌 一种随机数生成器 ， 通过将确定性算法应用于适当的随机初始值 （ 称为 “ 种子 ”） 产生随机样式的比特序列 。 ３ ． １１ 　 熵率 　 犲狀狋狉狅狆狔狉犪狋犲 平均每比特数据包含的熵的大小 。 ３ ． １２ 　 密码边界 　 犮狉狔狆狋狅犵狉犪狆犺犻犮犫狅狌狀犱犪狉狔 明确定义的边线 ， 该边线建立了密码模块的物理和 ／ 或逻辑边界 ， 并包括了密码模块的所有硬件 、 软件和 ／ 或固件部件 。 ［ 来源 ： ＧＢ ／ Ｔ３７０９２ — ２０１８ ， ３．４ ］ ３ ． １３ 　 软件随机数发生器 　 狊狅犳狋狑犪狉犲犫犪狊犲犱犚犖