Добрый день!

Начиная с ядра 6.10 опции CONFIG_RANDOM_TRUST_CPU больше нет:
https://www.kernelconfig.io/config_random_trust_cpu

Теперь доверие к RDRAND и энтропии от загрузчика включено
по-умолчанию:
https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/tree/drivers/char/random.c#n821

И можно выключить только по:
random.trust_cpu=off
random.trust_bootloader=off

Поэтому и пишу сюда, а не в devel-kernel, потому что изменения
нужны на уровне параметров ядра со стороны загрузчика.

Ввиду уязвимостей вида:
https://github.com/google/security-research/security/advisories/GHSA-4xq7-4mgh-gp6w

сложно рассматривать включенный из коробки random.trust_cpu иначе,
чем бэкдор. У Intel дела не сильно лучше — вспоминаем материалы
Сноудена.

И с random.trust_bootloader не лучше — вспоминаем качество кода
вендорских реализаций UEFI и количество проблем в них.

Поэтому предлагаю: во всех загрузчиках (grub, efi, lilo, extlinux,
что там ещё у нас используется) добавить в kernel cmdline:

random.trust_cpu=off random.trust_bootloader=off

Да, у пользователей систем с сотнями контейнеров, где systemd
выедает всю энтропию на старте системы, могут быть задержки
в загрузке. На таких системах пользователи могут убрать эти
параметры ценой безопасности своих систем, что печально, т.к. обычно
это хостинг. Правильным лечением будет исправлять systemd, но ввиду
острой нехватки галоперидола у его ключевых разработчиков это
представляется затруднительным.

С наилучшими пожеланиями,
Андрей Савченко