<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Nov 29, 2016 at 10:20 AM, Salz, Rich <span dir="ltr"><<a href="mailto:rsalz@akamai.com" target="_blank">rsalz@akamai.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Tens of thousands of individual developers and sysadmins have downloaded, built, and installed OpenSSL.  A handful of distributions also do that, and bundle it with their release. For a variety of understandable reasons, said distro's are always out of date.<br>
<span class="gmail-"><br>
> Real developers are not generally crypto geeks.  They need an alarm bell like this to go off to let them know when something is wrong.<br>
<br>
</span>And if the alarm bell is "apache won't start" they will throw out openssl or swamp us with email or perhaps fall back to plaintext.<div class="gmail-HOEnZb"><div class="gmail-h5"><a href="mailto:cryptography@metzdowd.com"></a></div></div></blockquote><div><br>Invite the world to get it correct add worthy options to examples on <a href="http://stackexchange.com">stackexchange.com</a><br>Lots of bad code starts there... so add some good code.</div><div><a href="http://unix.stackexchange.com/questions/114878/reading-from-dev-random-does-not-produce-any-data">http://unix.stackexchange.com/questions/114878/reading-from-dev-random-does-not-produce-any-data</a></div><div><br>google for:   site:<a href="http://stackexchange.com">stackexchange.com</a> random urandom dev/random dev/urandom<br> sample the offered solutions.<br>As a group a small group here could ask and answer questions that could be better.<br>Sure that is a shill game but a valuable way to share known solutions and even</div><div>update them.<br><br>OpenSSL could have a go-get-rand() function that is #ifdef rich and does all the <br></div><div>right things.   For the systems that ./configure does not find worthy foundations and</div><div>tools have a configure option that is a lot like  $HobbledInsecureMachine    and then </div><div>use internet timeouts and other "weak solutions". </div><div><br><a href="http://crypto.stackexchange.com/questions/34019/on-linux-does-dev-random-unblocking-imply-that-dev-urandom-is-seeded">http://crypto.stackexchange.com/questions/34019/on-linux-does-dev-random-unblocking-imply-that-dev-urandom-is-seeded</a><br><br><br><br><br><br>For blocking sources read a small number of bits at a time and time</div><div>them each read to know how sluggish the application might feel.  Stop with the TRNG</div><div>and seed a PNRG with the TRN set you have and local environment... <br>Blocking reads are the bane of programmers... as are hidden buffers as small as</div><div>four characters. </div></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>