[devel] rngd vs haveged vs crng (khwrngd)

[Leonid Krivoshein]

20.09.2019 17:46, Leonid Krivoshein пишет:
>
> 20.09.2019 13:47, Sergey Bolshakov пишет:
>>>>>>> "Paul" == Paul Wolneykien<manowar-u2l5PoMzF/Vg9hUCZPvPmw на public.gmane.org>  writes:
>> [skipped]
>>
>>   >   А кто ещё, sshd? Почему с ним раньше проблем не возникало? Ну и опять
>>   > же, на мой взгляд это проблема, в первую очередь, в диагностике. Если
>>   > какая-то служба долго не стартует, то в журнале должно быть что-то про
>>   > нехватку энтропии.
>>
>> Подписчикам devel@ наверное будет небезынтересно узнать, что
>> ssh-keygen -A, запускающийся всякий раз перед стартом sshd,
>> сначала делает getrandom(), а уж затем проверяет наличие ключей,
>> растрачивая, таким образом, впустую драгоценную случайность в
>> подавляющем большинстве запусков.
>
> Прям всякий раз? Вроде только, если ключи ещё не сгенерированы.
>
> А откуда инфа про getrandom() ? Когда я последний раз бегло изучал 
> этот код, как раз был сильно удивлён отсутствием именно криптографии 
> -- там используется собственный генератор случайных чисел, а для его 
> инициализации берётся несколько байт из /dev/urandom.
>
> Но давайте, наконец, развеем мои заблуждения чтобы поставить точку для 
> подписчиков devel@ ... ))
>

Вспомнил: полез в самый свежий код из Сизифа, потому что удивил запуск 
ssh-keygen -A под strace'ом -- ни одного вызова getrandom(), но чтение 
/dev/urandom имело место. Так что, скорее всего, не заблуждение.

Но, насколько я знаю, в новых инсталляторах ключи теперь создаются в 
конце установки теперь. Убирать проверку и запуск ssh-keygen перед 
стартом службы sshd смысла нет, если ключей нет, их лучше всё равно 
создать. А вот идея создавать их в post% пакета мне видится вредной.


-- 
Best regards,
Leonid Krivoshein.

----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20190920/d0397bb7/attachment.html>