你能解释一下random.c中使用的熵估计吗

/dev/random使用内核中断的时间添加到熵池中。在名为的变量中跟踪池中的熵量entropy_count。

这是的相关代码段random.c。它表示变量的最后两次间断delta与delta的差异之间的时间（以我为准）delta2。

delta = time - state->last_time;
state->last_time = time;

delta2 = delta - state->last_delta;
state->last_delta = delta;

if (delta < 0) delta = -delta;
if (delta2 < 0) delta2 = -delta2;
delta = MIN(delta, delta2) >> 1;
for (nbits = 0; delta; nbits++)
  delta >>= 1;

r->entropy_count += nbits;

/* Prevent overflow */
if (r->entropy_count > POOLBITS)
  r->entropy_count = POOLBITS;

看起来，添加的熵的估算值本质上是delta的以2为底的对数的下限（不是ceil，因为循环前的初始位偏移）。尽管我不确定需要什么假设才能使此形式正确，但这在某种程度上具有直觉意义。

因此，我的第一个问题是“此估算背后的原因是什么？”

我的第二个问题是关于delta = MIN(delta, delta2) ...。这是做什么的？为什么要选择这个增量和最后一个的最小值？我不知道这应该达到什么目的-也许可以使估计更好，或者更保守。

编辑：我发现了一篇指定估算值的论文，但实际上并没有给出合理的论据（尽管它确实概述了估算者应满足的一些非正式条件）。

评论中列出了其他资源：

• 维基百科上/dev/random，并/dev/urandom
• 试图解释它的论文（我对此表示怀疑，请参阅评论）
• 一篇博客文章/dev/random，上面写了代码的家伙发表了评论。
• 关于/dev/random熵池的secutity.SE答案。

delta2不是前一个delta，而是两个连续值之间的差delta。它是一种导数：如果delta测量速度，delta2则是加速度。

该估计值背后的直观想法是，中断以或多或少的随机间隔发生，这是由物理世界中不可预测的事件（例如按键或网络数据包的到达）决定的。延迟时间越长，涉及的事件就越不可预测。但是，有些物理系统会以固定的速率触发中断。该delta2措施是一种检测这种情况的保护机制（如果中断以固定的间隔发生，因此可以确定地预测，则所有delta值将具有相同的值，因此delta2将为零）。

我说的是“直观”，没有更多要说的了。实际上，在“随机物理事件”模型中，计数位数是错误的；如果每个时间单位发生硬件事件的概率为p，并且您获得的延迟以n位表示，则熵贡献应计为n / 2位，而不是n位。但是我们知道，实际上，物理事件并不是在完全随机的时刻发生的。该delta2机制也承认。

因此在实践中，“熵估计”就是这样：一个估计。它的安全性不是基于合理的数学依据，而是来自通常的安全性来源：似乎还没有人找到滥用它的方法。

该页面是由一个厌倦了有关/dev/random其神话和其熵估计的人所写的，我认为它很好地解释了事情，并提供了足够的细节。处理RNG时，正确掌握一些基本思想很重要。