Somehow dropped the list.<br><br><div class="gmail_quote">---------- Forwarded message ---------<br>From: Ben Laurie <<a href="mailto:ben@links.org">ben@links.org</a>><br>Date: Wed Dec 03 2014 at 8:20:40 PM<br>Subject: Re: [Cryptography] [cryptography] Underhanded Crypto<br>To: Ray Dillinger <<a href="mailto:bear@sonic.net">bear@sonic.net</a>><br><br><br><div class="gmail_quote">On Wed Dec 03 2014 at 6:46:10 PM Ray Dillinger <<a href="mailto:bear@sonic.net" target="_blank">bear@sonic.net</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
On 12/03/2014 04:20 AM, Ben Laurie wrote:<br>
> On Wed Dec 03 2014 at 7:22:18 AM Ray Dillinger <<a href="mailto:bear@sonic.net" target="_blank">bear@sonic.net</a>> wrote:<br>
  Using uninitialized memory<br>
>> as *input* to add to a generator that had a good amount of entropy<br>
>> before you input the bytes, and which also gets lots of randomness from<br>
>> other sources, isn't harmful. But relying on uninitialized memory alone,<br>
>> or even mostly, to produce a good PRNG state is crayzee.<br>
>><br>
><br>
> So crayzee its not what was going on. In fact, what was going on is what<br>
> you just described. Which you would've known if you actually bothered to<br>
> understand the issue.<br>
><br>
> But do carry on bloviating. It is _so_ enlightening.<br>
><br>
<br>
Don't wanna pick a fight here, but I gotta point this out.<br>
If that's what's going on, then zeroing the memory before<br>
doing it won't cause a vulnerability.<br></blockquote><div><br></div></div><div class="gmail_quote"><div>Indeed, it will not.</div><div><br></div></div></div>