Làm cách nào để lấy khóa một cách an toàn từ danh sách các byte ngẫu nhiên được sắp xếp?

Giả sử rằng bạn biết rằng nguồn của bạn đang tạo ra các byte IID, những gì bạn có trong trường hợp này là một mẫu từ một phân phối đa thức với $k=256$. Nếu bạn biết rõ về xác suất của từng byte (ví dụ: 1/256 nếu chúng có thể xác định được), thì bạn có thể tính toán entropy trong phân phối sẽ tăng theo $n$ (kích thước của mảng) như được đề xuất trong nhận xét. Công thức cho entropy được đưa ra trong bài viết Wikipedia.

Tuy nhiên, entropy Shannon vẫn có thể che giấu các xác suất riêng lẻ xảy ra quá thường xuyên đối với khóa mật mã tốt. Thay vào đó, bạn nên đảm bảo rằng entropy tối thiểu $H_\infty$ lớn hơn một chút so với kích thước khóa được yêu cầu. Đối với các byte có thể trang bị được và đối với $256|n$, cái này sẽ $$-\log \left(\frac{n!}{\left(\frac n{256}\right)!^{256}}256^{-n}\right) .$$

Một lần nữa, điều này sẽ phát triển với $n$. Khi bạn có đủ entropy tối thiểu để cảm thấy thoải mái, chỉ cần tính số byte và đưa chúng vào hàm phái sinh chính mà bạn chọn.

ETA: @fgrieu yêu cầu một công thức entropy tối thiểu cho các giá trị tổng quát hơn của $n$. Điều sau đây rườm rà hơn, nhưng tôi nghĩ rằng nó nắm bắt chính xác giá trị phương thức của đa thức. Vì $n=256d+r$ với $0\le r<256$ công thức là $$-\log \left(\frac{n!}{(d!)^{256-r}((d+1)!)^r}256^{-n}\right) .$$