From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM autolearn=ham autolearn_force=no version=3.4.1 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025; h=subject:to:references:from:message-id:date:user-agent:mime-version :in-reply-to:content-transfer-encoding:content-language; bh=e/eUAZFtNU9MLFisGR9oY8QDKigdjb4YGixhpvsPbJ0=; b=rNLwACFm2GrLSWApXE7jRT8tIyVg/oDbSDM6Nigq3Tm+xYfr/gEj4nTLYenRb+h0aN qRPvh808z203Vw7W00h/3cz779XaFkbbxmARMFka/0KCw0f9LN6Rwqt6PmYJi1AI/QKD omG4BpgIAhHa0DH7cfkdcbSAYkoWlGg7bpG3VaWFZG3baZDocVVzm3fX2L4XAl+D18kW +Gz9hrzisXNgWkyUCYU7yfDddO1xT20u+GBgR4YA6/UIruABSqxU+l2Y6lNqO6kBm0F5 8kUIDuKF5eMdjSO6Jytit0NTdYirFNWIPGLwJf/cxicBuxDZ3RK7j39c1PYbma6AN9v3 oFlw== X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20161025; h=x-gm-message-state:subject:to:references:from:message-id:date :user-agent:mime-version:in-reply-to:content-transfer-encoding :content-language; bh=e/eUAZFtNU9MLFisGR9oY8QDKigdjb4YGixhpvsPbJ0=; b=PCrpGH78UCK3XREFdjJFCNDMubwWDN7e/kurutltwmPYmf/cSbqwozPq/z0jOgVbor r8SeHVlXGs1/m0G6rg2udeBfF7Ka7fI6W66mCPHTNIv/eFbH13jcLCX7Ee4zJltVgB/j 9rMFCt7LFzYzJIoS29Y3Kj58mQNo5jA2SKI77Vfh5QjrBv9QmlYlli7/dyXtMfMIt413 htedYIn3JKqft95uz23G0m0B1/xg8k1AAc4x5U5w3P6LWIkgXFeG3rrLFQJKNaHftFOq lPKWD6IJzseP+1WzwbE8hLkCgbcFzWPyDIUEAgHBxiC0MhwBGl6IFrd9OZLoya5BC2eN u3mA== X-Gm-Message-State: APjAAAUcletwL5jUHN2Lan0lyT6W0Ta34hH4Ca36IHRxCuo8+bL8nIaa aulBf+VeHOh3KEjw8IMHLJEpYhHX X-Google-Smtp-Source: APXvYqwIt2P5uH/yg9Ju9D8ubhcRUEyyujiz9FRbM/wSFRbatse2TSZdEQwPvH/0XNX85qkVJBzZCw== X-Received: by 2002:a2e:98d2:: with SMTP id s18mr10835634ljj.68.1569026244152; Fri, 20 Sep 2019 17:37:24 -0700 (PDT) To: ALT Linux Team development discussions References: <4beb559f-4864-35a2-b8c8-3fa0909d6069@basealt.ru> <20190530164054.GA27835@altlinux.org> <4041b3c1-b134-9720-0f01-1a2527ed1721@basealt.ru> <20190531105614.GD27835@altlinux.org> <975ac233-dc84-d9eb-1d24-975ee807c075@basealt.ru> <20190831123520.GD12903@altlinux.org> <936a2336-e8c6-8274-37cf-a8059ee9bf44@gmail.com> <20190831154243.GE12903@altlinux.org> <7e2bba2a-867f-b8a0-6e27-1a07521e13fb@gmail.com> <77efad51-4876-fa68-f8e5-291a3bb5a058@altlinux.org> <3663e1ee-b31f-db30-083f-1899c3bed8a1@gmail.com> <8b8855ce-2d5b-e35b-cc7a-855b8f4edc50@altlinux.org> <2f007cd7-aaa5-a64c-1fd0-b428a521f790@gmail.com> From: Leonid Krivoshein Message-ID: Date: Sat, 21 Sep 2019 03:33:40 +0300 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Thunderbird/60.8.0 MIME-Version: 1.0 In-Reply-To: <2f007cd7-aaa5-a64c-1fd0-b428a521f790@gmail.com> Content-Type: text/plain; charset=koi8-r; format=flowed Content-Transfer-Encoding: 8bit Content-Language: ru Subject: Re: [devel] rngd vs haveged vs crng (khwrngd) X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 21 Sep 2019 00:37:27 -0000 Archived-At: List-Archive: List-Post: 20.09.2019 18:12, Leonid Krivoshein пишет: > > > 20.09.2019 17:46, Leonid Krivoshein пишет: >> >> 20.09.2019 13:47, Sergey Bolshakov пишет: >>>>>>>> "Paul" == Paul Wolneykien writes: >>> [skipped] >>> >>> > А кто ещё, sshd? Почему с ним раньше проблем не возникало? Ну и опять >>> > же, на мой взгляд это проблема, в первую очередь, в диагностике. Если >>> > какая-то служба долго не стартует, то в журнале должно быть что-то про >>> > нехватку энтропии. >>> >>> Подписчикам devel@ наверное будет небезынтересно узнать, что >>> ssh-keygen -A, запускающийся всякий раз перед стартом sshd, >>> сначала делает getrandom(), а уж затем проверяет наличие ключей, >>> растрачивая, таким образом, впустую драгоценную случайность в >>> подавляющем большинстве запусков. >> >> Прям всякий раз? Вроде только, если ключи ещё не сгенерированы. >> >> А откуда инфа про getrandom() ? Когда я последний раз бегло изучал >> этот код, как раз был сильно удивлён отсутствием именно криптографии >> -- там используется собственный генератор случайных чисел, а для его >> инициализации берётся несколько байт из /dev/urandom. >> >> Но давайте, наконец, развеем мои заблуждения чтобы поставить точку >> для подписчиков devel@ ... )) >> > > Вспомнил: полез в самый свежий код из Сизифа, потому что удивил запуск > ssh-keygen -A под strace'ом -- ни одного вызова getrandom(), но чтение > /dev/urandom имело место. Так что, скорее всего, не заблуждение. > Нет, лучше всё же проверить. :-) Точно не помню, что там было, getrandom() или чтение /dev/urandom. > Но, насколько я знаю, в новых инсталляторах ключи теперь создаются в > конце установки теперь. Убирать проверку и запуск ssh-keygen перед > стартом службы sshd смысла нет, если ключей нет, их лучше всё равно > создать. А вот идея создавать их в post% пакета мне видится вредной. > -- Best regards, Leonid Krivoshein.