[devel] [sisyphus] Не переключается в графический режим
Andrey Savchenko
bircoph на altlinux.org
Пн Ноя 5 20:29:04 MSK 2018
On Mon, 5 Nov 2018 20:25:26 +0300 Andrey Savchenko wrote:
[...]
> > > А есть мнение, что простое чтение из /dev/urandom не настолько безопасно
> > > на раннем старте. И стоит почитать про haveged -- это не просто
> > > юзерспейсный костыль. Кстати, на данный момент на некоторых железках без
> > > существенного погружения в код ничего лучше haveged проблему не решает.
> >
> > Давай исходить из задачи. Нужно просто случайные числа или
> > криптографически стойкие (т.е. алгоритмически неповторяемые
> > равномерно распределённые) случайные числа?
> >
> > Если второе, то только /dev/random (или getrandom() с флагом
> > GRND_RANDOM, что есть точно то же) и *ничего* другого ни при каких
> > обстоятельствах и ни под каким предлогом. Иначе получится к с Debian
> > и "улучшением" в OpenSSL.
> >
> > Если первое, то /dev/urandom (или getrandom() без GRND_RANDOM).
> >
> > Насколько я понял текущую проблему, инициализируется gcrypt random
> > pool, ему нужна криптостойкая инициализация. Как решения данную
> > инициализацию нужно отложить (да, придётся лезть в кишки systemd).
>
> Вот здесь поясняется, почему havaged нельзя использовать в
> криптографических целях:
> https://crypto.stackexchange.com/questions/8083/quality-of-randomness-on-a-linux-system-with-haveged
Ещё статьи:
https://lwn.net/Articles/525459/
https://security.stackexchange.com/questions/34523/is-it-appropriate-to-use-haveged-as-a-source-of-entropy-on-virtual-machines
В общем, для задачи получения критографически стойких случайных
чисел havaged не пригоден.
> В общем, urandom < havaged < random.
>
> Реальная проблема в том, что на обсуждаемом этапе загрузки random
> ещё не нужен, но используется. Очередная глупость от systemd.
>
> Best regards,
> Andrew Savchenko
Best regards,
Andrew Savchenko
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : отсутствует
Тип : application/pgp-signature
Размер : 833 байтов
Описание: отсутствует
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20181105/a33e1fab/attachment.bin>
Подробная информация о списке рассылки Devel