[devel] ALT 8.3 Workstation K RC4 20190419

[Leonid Krivoshein]

21.04.2019 17:07, Andrey Savchenko пишет:
> On Sun, 21 Apr 2019 16:50:50 +0300 Michael Shigorin wrote:
>> On Sun, Apr 21, 2019 at 04:37:03PM +0300, Andrey Savchenko wrote:
>>>>>    > Добавлено: - Сервис rngd, включенный по умолчанию.
>>>>> Не надо его включать по умолчанию...
>>>> А что надо, не расскажешь ? Интересно же.
>>> Нужно не включать.
>> Хорошо бы пояснять для чайников вроде zerg@, rider@ и меня.
> Мы это уже несколько раз обсуждали на devel или rebase

Когда я вижу, как один коллега пол дня генерирует энтропию руками на 
клавиатуре, другой паяет генератор для USB-порта, третий испытывает 
качество этого изделия, а все мои виртуалки ждут решительных действий 
уже сейчас и решение проблемы нужно уже вчера, вкорячил haveged и в ус 
не дую. :-) Да, не так безопасно, но хотя бы можно работать. А SSH-ключи 
-- да, лучше генерировать после исталляции или развёртывания, всегда так 
делаю, вот только энтропийный голод наступает на машинах с быстрым 
стартом графического сеанса отнюдь не из-за openssh. Таки давайте 
считать сие массовым и очень напрягающим багом и сколько бы мы его не 
обсуждали, он должен быть закрыт. Ну и, к слову, rngd, в отличии от 
haveged, берёт энтропию из всё же существующего аппаратного источника. 
Деталей не знаю, вроде TPM 1.0 и тот, что в CPU, к которым не у всех 
есть доверие.


>>> Данный RC4, очевидно, нельзя применять на настройках по
>>> умолчанию ни для каких задач, где необходима криптография,
>>> в т.ч. для подписывания писем, тегов git и работы по ssh.
>> Это почти не пояснение, хотя я вот заподозрил плохое качество
>> (псевдо)случайных чисел, которые эта подпорка под systemd (так?)
>> лепит в пул.
> Да, дело в ненадлежащем качестве источника энтропии, что ставит под
> удар все сгенерированные в такой системе ключи, в т.ч. сессионные.
>


-- 
Best regards,
Leonid Krivoshein.