[devel] rngd vs haveged vs crng (khwrngd)

[Leonid Krivoshein]

20.09.2019 18:12, Leonid Krivoshein пишет:
>
>
> 20.09.2019 17:46, Leonid Krivoshein пишет:
>>
>> 20.09.2019 13:47, Sergey Bolshakov пишет:
>>>>>>>> "Paul" == Paul Wolneykien<manowar-u2l5PoMzF/Vg9hUCZPvPmw на public.gmane.org>  writes:
>>> [skipped]
>>>
>>>   >   А кто ещё, sshd? Почему с ним раньше проблем не возникало? Ну и опять
>>>   > же, на мой взгляд это проблема, в первую очередь, в диагностике. Если
>>>   > какая-то служба долго не стартует, то в журнале должно быть что-то про
>>>   > нехватку энтропии.
>>>
>>> Подписчикам devel@ наверное будет небезынтересно узнать, что
>>> ssh-keygen -A, запускающийся всякий раз перед стартом sshd,
>>> сначала делает getrandom(), а уж затем проверяет наличие ключей,
>>> растрачивая, таким образом, впустую драгоценную случайность в
>>> подавляющем большинстве запусков.
>>
>> Прям всякий раз? Вроде только, если ключи ещё не сгенерированы.
>>
>> А откуда инфа про getrandom() ? Когда я последний раз бегло изучал 
>> этот код, как раз был сильно удивлён отсутствием именно криптографии 
>> -- там используется собственный генератор случайных чисел, а для его 
>> инициализации берётся несколько байт из /dev/urandom.
>>
>> Но давайте, наконец, развеем мои заблуждения чтобы поставить точку 
>> для подписчиков devel@ ... ))
>>
>
> Вспомнил: полез в самый свежий код из Сизифа, потому что удивил запуск 
> ssh-keygen -A под strace'ом -- ни одного вызова getrandom(), но чтение 
> /dev/urandom имело место. Так что, скорее всего, не заблуждение.
>

Нет, лучше всё же проверить. :-) Точно не помню, что там было, 
getrandom() или чтение /dev/urandom.


> Но, насколько я знаю, в новых инсталляторах ключи теперь создаются в 
> конце установки теперь. Убирать проверку и запуск ssh-keygen перед 
> стартом службы sshd смысла нет, если ключей нет, их лучше всё равно 
> создать. А вот идея создавать их в post% пакета мне видится вредной.
>

-- 
Best regards,
Leonid Krivoshein.