CloudFlare lance la League of Entropie / Ligue de l’Entropie, un service qui permet d’obtenir des nombres aléatoires de 8 fournisseurs indépendants.

Les nombres aléatoires sont au cœur de nombreuses solutions, de la cybersécurité au tirage des chiffres de l’Euromillion.

Il est remarquablement difficile, et coûteux, de générer des nombres vraiment aléatoires.

La Ligue offre un service de génération de nombres aléatoires qui se base sur drand de Nicolas Gailly, Philipp Jovanovic et Mathilde Raynal.

Pour chaque tour de génération, les propriétés suivantes sont respectées :

  • Disponibilité : la génération de distribution de hasard a une forte probabilité de réussir ;
  • Imprévisibilité : il est impossible de tirer quelque enseignement que ce soit d’un tour de génération aléatoire (sauf avec une probabilité négligeable), jusqu’à ce qu’un nombre suffisant de nœuds révèlent leur contribution au protocole de génération aléatoire ;
  • Impartialité : le résultat du service représente une valeur uniformément aléatoire, sans biais (sauf avec une probabilité négligeable) ;
  • Vérifiabilité : des parties tierces peuvent vérifier le résultat aléatoire en fonction des clés publiques générées durant l’installation ;

Le service est distribué et fournit une série de nombres aléatoires toutes les 60 secondes ; Le fait qu’il y ait 8 fournisseurs indépendants empêche de profiter d’un biais.

Les fournisseurs sont : Cloudflare, Nicolas Gailly (Protocol Labs), Université du Chili, École polytechnique fédérale de Lausanne  (EPFL), Kudelski Security, et les chercheurs de l’EPFL Philipp Jovanovic et Ludovic Barman.

Chaque fournisseur exploite une entrée différente : Cloudlfare des murs de lampes à laves (LavaRand) ; l’EPFL Urand, basé sur les générateurs pseudoaléatoires de linux ; l’Université du Chili utilise 5 souces : mesures sismiques, des diffusions d’une radio locale, une sélection de publications Twitter, des données de la chaîne de block de l’Ethereum, et leur propre carte de génération de nombres aléatoires ; Kudelski Security exploite ChaChaRand, basé sur ChaCha20; Protocol Labs utilise InterplenaryRand (bruit environnemental).

Notons qu’il n’est pas recommandé d’utiliser ces sources pour générer des clés de sécurité : comme ce sont des sources publiques, un adversaire qui déterminerait le moment exact de la création de la clé pourrait la deviner.

Il est possible de demander à ces fournisseurs des nombres aléatoires privés pour cet usage.

Inversement, l’utilisation de nombres aléatoires publics est idéale pour générer des valeurs qui ne doivent pas rester secrètes, mais dont la génération doit être aléatoire, transparente et sans biais : loteries, tirages au sort de concours, audit d’élection, etc.

Le service est disponible sur: https://leagueofentropy.com/.