Basis für sichere kryptografische Verfahren und Protokolle sind gute Zufallszahlen. Es muss also sichergestellt werden, dass in Kryptoprodukten verwendete Zufallszahlengeneratoren zufällige und nicht vorhersagbare Daten liefern.

Das BSI hat daher Vorgaben zur Vorgehensweise bei der Evaluierung und Zertifizierung von Zufallszahlengeneratoren im mathematisch-technischen Anhang A A proposal for: Functionality classes for random number generators - Version 2.0 (Stand 18. September 2011) und A proposal for: Functionality classes for random number generators - Version 3.0 (10. September 2024) formuliert, die die kryptografische Grundlage für die AIS 20 und AIS 31 bilden.

Die Erstellung der Version 3.0 wurde von einer Kommentierungsrunde eines Entwurfs ( A proposal for: Functionality classes for random number generators - Version 2.35 - Draft) und einem Workshop begleitet (Weitere Informationen).

Außerdem werden in BSI-Studien einzelne Zufallszahlengeneratoren untersucht und bewertet:

BSI-Studie: Dokumentation und Analyse des Linux-Zufallszahlengenerators
Das BSI lässt seit einigen Jahren kontinuierlich den Zufallszahlengenerator (kurz RNG) /dev/random für jede neu erscheinende Version von Linux untersuchen. Damit kann das BSI Sicherheitsaussagen über diesen RNG, aber insbesondere auch über kryptografische Systeme machen, die diesen RNG zur Erzeugung von Schlüsselmaterial verwenden. Der Hauptaspekt der Untersuchung ist der Nachweis, dass der Linux-RNG konform zu einer bestimmten Funktionalitätsklasse ist.

BSI-Studie: Zufallszahlenerzeugung in virtualisierten Umgebungen
Mit dem zunehmenden Einsatz virtueller Maschinen, vor allem in Cloud-basierten Lösungen, stellt sich die Frage, ob auch hier Zufallszahlen von ausreichender Qualität bereitgestellt werden können.
In einer Studie des BSI wurde daher untersucht, wie die Virtualisierung die Entropie der Rauschquellen, die die Zufallszahlengeneratoren speisen, beeinflusst, und was getan werden kann, um die Versorgung der virtuellen Maschinen (VM) mit genügend Zufall sicherzustellen. Exemplarisch wurde dabei der quelloffene Zufallszahlengenerator von Linux in virtuellen Maschinen untersucht, die auf verschiedenen virtuellen Maschinenmonitoren (VMM) wie KVM, VirtualBox, Microsoft Hyper-V und VMWare ESXi liefen.

BSI-Studie: Analyse der Zufallszahlenerzeugung in Browsern
In einem Webbrowser sind gute Zufallszahlen eine Voraussetzung für den Aufbau sicherer Verbindungen im Internet. Diese Studie enthält die Untersuchung des algorithmischen Teils der Zufallszahlengeneratoren, welche von den Webbrowsern Chromium, Firefox und Safari für kryptografische Zwecke verwendet werden (unter der Annahme, dass Safari die Corecrypto-Bibliothek verwendet). Für jeden der Zufallszahlengeneratoren wird die Implementierung im Detail beschrieben und es wird analysiert, ob die Anforderungen der AIS 20 und AIS 31 an gute Zufallszahlen erfüllt sind.