<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>Thanks for your answer Ludovic.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class="gmail-"><div>I suggest you to use a hardware dedicated to random number generation.<br></div></span></div></div></div></blockquote><div><br></div><div>Yes, this is of course the main option I have in mind.</div><div>My question remains theoretical in the event we don't trust any of the TRNG vendors (<a href="https://en.wikipedia.org/wiki/Comparison_of_hardware_random_number_generators">https://en.wikipedia.org/wiki/Comparison_of_hardware_random_number_generators</a>).</div><div>I may have more confidence in a certified card, like the JCOP 2.4.1r3 which has been evaluated according to the AIS 31 of the BSI.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class="gmail-"><div></div></span><div>A smart card may be too slow for you.</div></div></div></div></blockquote><div><br></div><div>Yes, I am aware of that. But certified TRNG are also very slow (75 kbps for the <span style="background-color:rgb(248,249,250);color:rgb(0,0,0);font-family:sans-serif;font-size:11.9px;text-align:center">Quantis AIS31 for example).</span></div><div><span style="background-color:rgb(248,249,250);color:rgb(0,0,0);font-family:sans-serif;font-size:11.9px;text-align:center">Let's just say that the time is not a issue for me :)</span></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>Also I am not sure that the data returned by C_GenerateRandom() always comes from the smart card. It depends on the PKCS#11 library you use.<br></div></div></div></div></blockquote><div><br></div><div>Yes, you're right. Thanks for the warning. In order to be sure I would need the source code of the PKCS#11 library, right?</div><div><br></div><div>So by the content of your answer, I presume this hasn't been tested/considered yet? (assuming the data comes genuinely from the internal generator of the card).</div><div><br></div><div>Cheers<br></div><div><br></div></div></div></div>