<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Jan 20, 2016 at 6:01 AM, Jason Cooper <span dir="ltr"><<a href="mailto:cryptography@lakedaemon.net" target="_blank">cryptography@lakedaemon.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">This isn't a realistic scenario.  An attacker "who knows the initial<br>
state of the entropy pool (which is a file on disk)" either has physical<br>
access to the system or root.  In either case, it's game over, she can<br>
just read the keys.</blockquote><div><br></div><div>I may be wrong about this, but the threat-case where I think this matters is when an attacker gets access to the machine, learns the state of the entropy pool, and then loses access.  Can the machine recover?</div><div><br></div><div>If only 1 random bit per second is fed into /dev/random, but keys and IVs are extracted from /dev/urandom at a bit-rate far higher than this, and if the attacker remains as an eavesdropper on the network and can see the results of every read to /dev/urandom, then the attacker needs only to make a few guesses per second to keep the attacker's copy of the entropy pool synced to the server's.  Is this right?</div><div><br></div><div>Bill</div></div></div></div>