Hier auch nochmal kurz meine Meinung, wobei ich das Wesentliche ja schon oben geschrieben habe.
Beim Selbstwürfeln geht es nicht darum, eine noch bessere Zufälligkeit als ein guter TRNG zu erreichen. Es geht viel mehr darum, sich gegen gewisse Risiken/Bedrohungen zumindest teilweise abzusichern, z.B. manche Betrugsmethoden des Wallet-Herstellers, des TRNG-Herstellers, Fehler im Design etc.
Trotzdem soll die Zufälligkeit durch das Selbstwürfeln nicht leiden. Auch bei dem von mir oben beschriebenen Verfahren müssen die einzelnen Würfelversuche „zufällig“ sein!
Der Extractor sorgt zwar für eine Gleichverteilung der Nullen und Einsen, wenn die Würfel ungleichmäßig sind. Aber auch wenn eine Würfelseite mit 30% Wahrscheinlichkeit auftritt, sollten diese 30% wenigstens über die Würfelversuche hinweg konstant sein.
Wenn man beispielsweise nur mit der Hand würfelt und im Laufe der Zeit „nachlässiger“ wird, ändern sich die Wahrscheinlichkeiten eventuell. Vielleicht hängt dann auch der Ausgang des nächsten Versuchs von dem des vorherigen ab; je nachdem wie man die Würfel aufhebt.
Deshalb ist es auch mit Extractor wichtig, ein Zufallsexperiment mit gleichbleibenden Wahrscheinlichkeiten durchzuführen. Also z.B. mittels Würfelbecher, mehreren Würfeln und ordentlich Schütteln.
Das Zusammenführen mehrerer Zufallsquellen mittels XORs ist ein guter Ansatz, um sich gegen einzelne schlechte Zufallsquellen abzusichern.
In der Bitbox (evtl. auch in anderen HW Wallets) wird das zum Beispiel intern verwendet:
→ Zufälligkeit des Seed von Ledger und Bitbox - #3 von skyrmion
→ BitBox – Sicherheit auf jeder Ebene
Auch bei der Coldcard ist es möglich, der zufällig erzeugten Entropie des Geräts beliebig viele Würfelergebnisse als zusätzliche Zufallsquelle hinzuzufügen:
→ COLDCARD Middle Ground Guide - COLDCARD Documentation
Sollte z.B. ein einzelner Zufallsgenerator durch den Hersteller manipuliert, oder auch einfach nur fehlerbehaftet sein, hat man bei der Bitbox als zusätzliche Sicherheit weitere Zufallsgeneratoren sowie einen Hash des Gerätepassworts.
ABER:
Bei diesen Verfahren hat man eine starke Zufallsquelle, die man grundsätzlich als die eigentliche Quelle betrachtet (bei der Bitbox z.B. den TRNG). Die Kombination soll dann wiederum gegen die oben schon erwähnten Betrugs- oder Fehlerszenarien absichern.
Wenn du allerdings in einem komplett eigenen Verfahren selbst mehrere Quellen kombinierst, machst du evtl. den Fehler, es bei keiner Quelle so genau zu nehmen. Am Ende ist dann aber trotz XOR die Zufälligkeit nur ungefähr so gut, wie die der „am wenigsten schlechten“ Quelle.
Deshalb würde ich persönlich es so wie von mir oben beschrieben mit einem einzigen, aber sehr guten Verfahren machen.
Maximal würde ich das Ergebnis des Verfahrens mit der Entropie der HW Wallet kombinieren, so wie von dir beschrieben. Dann hätte man eine starke Quelle im Gerät und eine Absicherung durch die Würfel. Die Coldcard unterstützt das wie gesagt auch schon nativ. Aber ehrlich gesagt ist mir das nach meiner Einschätzung der Würfelzufälligkeit zu umständlich.