[devel] [sisyphus] Не переключается в графический режим

Andrey Savchenko bircoph на altlinux.org
Пн Ноя 5 20:05:04 MSK 2018


On Mon, 5 Nov 2018 19:42:39 +0300 Leonid Krivoshein wrote:
> >   > Исходя из этого нужно:
> >   > 1) определить значение длины минимально необходимой энтропии;
> >   > 2) сделать тест длины энтропии и добавить его в systemd-unit
> >   > для haveged;
> >   > 3) включить haveged во все дистрибутивы.
> >
> > А можно просто использовать специально для этого предназначенный
> > источник - /dev/urandom; когда энтропии достаточно, он работает
> > точно так же, как /dev/random, а когда не хватает - ну, хотя бы
> > что-то более-менее приемлемое выдаст.
> 
> А есть мнение, что простое чтение из /dev/urandom не настолько безопасно 
> на раннем старте. И стоит почитать про haveged -- это не просто 
> юзерспейсный костыль. Кстати, на данный момент на некоторых железках без 
> существенного погружения в код ничего лучше haveged проблему не решает.

Давай исходить из задачи. Нужно просто случайные числа или
криптографически стойкие (т.е. алгоритмически неповторяемые
равномерно распределённые) случайные числа?

Если второе, то только /dev/random (или getrandom() с флагом
GRND_RANDOM, что есть точно то же) и *ничего* другого ни при каких
обстоятельствах и ни под каким предлогом. Иначе получится к с Debian
и "улучшением" в OpenSSL.

Если первое, то /dev/urandom (или getrandom() без GRND_RANDOM).

Насколько я понял текущую проблему, инициализируется gcrypt random
pool, ему нужна криптостойкая инициализация. Как решения данную
инициализацию нужно отложить (да, придётся лезть в кишки systemd).


Best regards,
Andrew Savchenko
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 833 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20181105/881043b8/attachment.bin>


Подробная информация о списке рассылки Devel