[devel] rngd vs haveged vs crng (khwrngd)

Сб Авг 31 09:36:36 MSK 2019

31.08.2019 02:06, Alexey Shabalin пишет:
> пт, 31 мая 2019 г. в 19:58, Anton Farygin <rider на basealt.ru>:
>> [...]
>> А зачем она тебе до запуска init ?
> Для информации, от разработчиков systemd.
> https://systemd.io/RANDOM_SEEDS

Увы, тут нет сколько-нибудь обнадёживающей информации.

systemd, равно как и ядро, не решают проблему наполнения пула 
качественной энтропией на ранней стадии загрузки для тех приложений, 
которым она действительно нужна. А должны ли они решать эту проблему?

Сам systemd не использует криптографию, допустим. Но есть службы, 
которые её используют. И есть машины, для которых нет решения с 
аппаратными источниками в TPM/CPU. А решение для UEFI-систем с 
/sys/firmware/efi/efivars/LoaderRandomSeed-4a67b082-0a4c-41cf-b6c7-440b29bb8c4fи 
перезаписью /boot/efi/loader/random-seed, доступного в момент 
монтирования ВСЕМ пользователям -- так себе решение, если не сказать хуже.

Для тех, кто будет сталкиваться с этой проблемой, по-прежнему остаётся 
два варианта: использовать дополнительный аппаратный (доверенный) 
источник ЛИБО ослаблять энтропию программными демонами типа 
rngd/haveged/etc.

-- 
Best regards,
Leonid Krivoshein.