Сколько случайности, чтобы разумно «отмыть» скомпрометированный TRNG?

Предположим, у меня есть физический модуль ГСЧ, который генерирует $n$-битные случайные числа, которые проходят тесты на случайность, такие как пакет Dieharder.Поскольку это устройство типа «черный ящик» с неизвестным источником случайности, давайте также предположим, что оно потенциально было частично скомпрометировано: злоумышленник, знающий работу модуля ГСЧ, учитывая одно предыдущее состояние, может правильно угадать следующее состояние в $2^{нм}$ шаги для $1 \leq m \leq n$.

Давайте также предположим, что у меня есть доступ к другому, проверенно бескомпромиссному, но в остальном низкокачественному источнику энтропии, дающему $х-р$ бит энтропии на $х$ биты вывода для $0 < р < х $. Предположим также, что этот источник энтропии значительно медленнее, чем вышеупомянутый модуль ГСЧ.

1. Чтобы «отмыть» первый источник ГСЧ так, чтобы он выдавал действительно непредсказуемые числа, сколько работы мне придется проделать?
   • Для отмены эффектов $м$ по выходному числу, сколько бит энтропии мне нужно будет выделить и предоставить из источника энтропии?
   • Какие операции мне нужно будет выполнить, чтобы не получить скомпрометированный номер? Будет ли конкатенация + хеширование с криптографически безопасной хеш-функцией «делать свое дело»?
   • И наоборот, каких операций мне следует избегать, если я хочу, чтобы фальсификация была «отмыта»?
   • Сколько усечений мне придется делать?
2. При условии, что $м$ достаточно велик/близок к $n$, не лучше ли просто извлечь случайные биты из второго источника и объединить их в одно число, минуя использование потенциально скомпрометированного модуля?

Мои предположения:

1. мне придется использовать $м$ биты бескомпромиссного случайного вывода, объединить его с первым выводом и хешировать его. Я думаю, что усечение конкатенированного вывода или входного числа не слишком поможет, если я точно не знаю, какие биты скомпрометированы, или если я не знаю вероятности того, какой бит скомпрометирован. Я должен избегать XOR входных данных перед применением хэша.

2. Я предполагаю, что «отмывание» разумно до $м = п/2$, за пределами которого я, вероятно, должен просто извлечь случайность из второго источника и объединить случайные биты в $n$-битное число, полностью минуя потенциально скомпрометированный модуль.