<div dir="ltr">On Thu, Oct 17, 2013 at 8:32 AM, Adam Back <span dir="ltr"><<a href="mailto:adam@cypherspace.org" target="_blank">adam@cypherspace.org</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Wed, Oct 16, 2013 at 10:12:14PM -0400, Theodore Ts'o wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
In the Linux Pseudo Random Number Generator Revisited paper<br>
(<a href="http://eprint.iacr.org/2012/251.pdf" target="_blank">http://eprint.iacr.org/2012/<u></u>251.pdf</a>), the authors sampled and<br>
analyzed the various real-life entropy sources, and found the entropy<br>
estimation to be pretty good, and if it erred, it erred on the side of<br>
convervatism, which is as designed.  <br>
</blockquote>
<br></div>
I think the more worrying case is a freshly imaged rack mount server,<br>
immediately generating keys or outputting random numbers to the network or<br>
in response to network queries.<br></blockquote><div><br></div><div>+1</div><div><br></div><div>And I have not seen any proposal that is really going to solve this particular problem in the thread since.</div><div><br></div>
<div>If I was asked three months ago my position would be 'generate the keys on the device that is going to use them and they never leave unless it is a really constrained device like a credit card.'</div><div><br>
</div><div>I have completely changed my mind on this. I now think public keys should be generated in device adapted for that purpose and migrated out using some form of secure protocol that ensures only the intended device can use them. </div>
<div><br></div></div><div><br></div><div>Further, the scheme used should provide the devices with a unique random seed that can be used as a backstop against compromise or failure of other RNGs. Using a stream cipher is not a very good RNG but nothing bad can happen by XORing a good but brittle RNG against the output of a completely independent cipherstream.</div>
<div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br>
</div></div>