> а я правильно понимаю, что для обхода подобных проблем и были написаны
> такие сервисы как rngd?С RNG вот какая проблема... когда комп только стартует, его состояние в целом может быть слишком предсказуемо и воспроизводимо! И когда кернель должен предоставить энтропию по запросам программ (например читающих /dev/random, /dev/urandom или дергающих аналогичный сискол) - будет очень не круто если это при каждой загрузке будет повторяться.
Потому что атакующий просто попытается подобрать состояние компа на момент генерации ключа. И есть довольно хороший шанс что угадает. Есть практические атаки такого плана, особенно на мелкие железки типа роутеров и виртуалки, где с энтропией на момент старта совсем душно.
А еще софт может хотеть много рандома и быстро. А где его столько взять, если в системе случайностей полторы штуки в час?!
Штуки типа RNGD...
1) прихранивают random seed накопленный за достаточно длительное время, так что при загрузке есть системе доступна какая-то не слишком предсказуемая энтропия.
2) может знать и использовать больше источников случайностей чем кернель, например какие-нибудь действия юзера типа времени нажатий клавиш или ADC какой-нибудь железки.
На самом деле подобное и в кернель встраивают - но кернель все же по задумке не мегамозг а исполнитель запросов и поэтому настолько насыщенно жить собственной жизнью умеет лишь в довольно урезанном варианте. А отдельная программа разумеется может позволить себе больше всяких чудесатых вещей.
> т.е. ключи генерируем используя сразу несколько генераторов случайных чисел?
Т.е. для начала набираем энтропию из разных источников и храним ее между перезагрузками. Потому что именно генераторы истинно случайных чисел штука довольно ... своеобразная. Как максимум что-то такое можно получить если взять шум младших разрядов ADC, но даже так есть шанс что атакующий сможет на это повлиять. И не везде есть ADC. Поэтому программные генераторы являются генераторами ПСЕВДОслучайных чисел. И подстава в том что дав генератору псевдослучайных чисел один и тот же начальный SEED мы получаем одни и те же числа. Что очень удобно атакующему и совсем не удобно нам. И вот тут возникает вопрос - а где взять по настоящему случайные числа для инициализации ГПСЧ? Штуки типа RNGD помогают найти на него ответ.
Поддержка хардварного рандома - в правильном виде как раз нечто типа ADC читающего шум чего-нибудь полупроводникового, например. Однако проверить что оно делает именно это - можно разве что если вы сами сделаете именно это, именно так. А что вон тот интелский чип реально делает при таком запросе на рандом (RDRAND) - кто ж его знает? Может вообще совсем не это? (по поводу чего ядерщики резонно не доверяют на 100% такому механизму).
