プール内のエントロピーの量は必ずしも整数である必要はないことに注意してください。これは主に、素因数が 2 以外の問題に対処する必要があります。
整数の見積もりを必要とする実装を使用することになったとしても、暗号鍵を生成するためにかなりの数のサイコロを振る必要があります。したがって、それらをまとめて要求することができます。ユーザーが 10 回の d6 ロールの結果を返し、エントロピーを 25 ビットと見積もった場合、ダイス ロールごとに 0.08 ビットしか失われません。切り捨てを忘れないでください;-)
ところで、/dev/random のようにハードウェア ソースから TRNG データを引き出すのではなく、ユーザーに TRNG データを求めるのは、改善ではなく楽しいおもちゃとして扱います。専門家が乱数を生成するのは非常に困難です。一般ユーザーを自分のアマチュアリズムに翻弄されたくありません。「乱数の生成は、偶然に任せるにはあまりにも重要です」 -- Robert Coveyou.
別の言い方をすれば、BSD の作成者は、PC ハードウェア上の実際のソースのエントロピー推定は十分に理解されていない (数学の問題ではなく物理の問題である) ため、PRNG を使用することは実際にはそれほど悪いオプションではないと主張しています。 Schneier / Kelsey / Ferguson のYarrow設計に従って十分に再播種されていることを条件とします。あなたのサイコロのアイデアは、/dev/random のエントロピーの一般的なソースよりも少なくとも利点があります。ユーザーが公正なサイコロを見つけて適切に転がすと信頼できる限り、自信を持ってエントロピーの下限を設定できます。優れた双眼鏡やキーボードで盗聴する手段 (たとえば、E/M 放射による) を持つオブザーバーがスキーム全体を破ることができるという欠点があるため、実際にはすべて脅威モデルに依存します。