是否存在任何標準來測量使用真隨機數生成器生成的密鑰的強度？

我想知道如何測量以下協議生成的密鑰的安全強度：

“TRNG 生成一個 128 位隨機數，該隨機數將用作 Diffie-Hellman 密鑰交換協議的私鑰。兩個實體生成共享密鑰，並將用作對稱加密的會話密鑰。”

我的問題是：

1. 是否有任何標準方法來衡量生成的密鑰的安全性？
2. 生成的密鑰應該具備哪些屬性才能抵抗攻擊？是否有任何包含此類屬性列表的紙質/標准文件？

謝謝。

NIST 特別出版物 800-90B可能是您的首選。它是用於滿足FIPS 140-3 要求的方法，被大量人群接受為良好的保證。

對於被認為產生獨立、相同分佈的輸出和其他輸出的 TRNG，採用了不同的方法。關鍵測量之一是最小熵（ $ H_\infty $ 在 Shannon-Renyi 意義上）跟踪某些固定大小輸出的最可能輸出。如果攻擊者唯一可用的資訊是密鑰的最小熵，那麼他們的猜測工作至少應該是 $ 2^{H_\infty} $ .

ETA：正如評論中所指出的，因為您的問題專門針對 Diffie-Hellman，所以存在詳盡的攻擊。特別是 128 位密鑰可以使用 Pollard rho/baby step-giant step/Pollard kangaroo 通過 64 位組操作來恢復。

引用自：https://crypto.stackexchange.com/questions/88882