<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Nov 29, 2016 at 10:20 AM, Salz, Rich <span dir="ltr"><<a href="mailto:rsalz@akamai.com" target="_blank">rsalz@akamai.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-"><br>
> Real developers are not generally crypto geeks.  They need an alarm bell like this to go off to let them know when something is wrong.<br>
<br>
</span>And if the alarm bell is "apache won't start" they will throw out openssl or swamp us with email or perhaps fall back to plaintext.<br>
<br>
Servers do not have keyboards or screens that can be scraped for a source of entropy.<br></blockquote><div><br></div><div>I'll stick with my current advice: Nothing needs to change in OpenSSL when running on Linux until something first changes in Linux.</div><div><br></div><div>Here's a <a href="http://www.2uo.de/myths-about-urandom/">pretty good article on /dev/urandom</a>, which strongly advocates for moving to using /dev/urandom for crypto.  However, it includes this statement:</div><div><br></div><div>"FreeBSD does the right thing: they don't have the distinction between /dev/random and /dev/urandom, both are the same device. At startup /dev/random blocks once until enough starting entropy has been gathered. Then it won't block ever again."</div><div><br></div><div>This is the correct behavior.  If you switch to using /dev/urandom on Linux now, we'll likely see more OpenWRT-like PWNing.  I can't recommend that.  This is a Linux flaw, and reading from /dev/random remains the simplest work-around.  A less simple work-around would be to read from /dev/random for some number of bits (>= 256?) and then switch to /dev/urandom.  This is not perfect, but better than just reading from /dev/random, while remaining secure on Linux while being a noop on FreeBSD.</div><div><br></div><div>Bill</div></div></div></div>