Подача ядра энтропийного источника с других машин и / или увеличение его максимального размера
У нас есть небольшая проблема с небольшим ящиком, который действует как конечная точка VPN и ретранслятор почты для нашей сети, вызванный доступной энтропией для /dev/random слишком низкий (что приводит к неудаче попыток соединения TLS exim).
Машина больше ничего не делает, поэтому обычной подачи в пул энтропии (время прерывания от таких вещей, как доступ к диску) недостаточно. Для быстрого взлома я установил зацикленный скрипт, который читает /dev/hda на несколько мегабайт / сек, что позволяет ему пополняться. Кроме покупки аппаратного RNG, есть ли более чистый способ передачи данных для энтропии из других источников, например, копии данных, которые наш файловый сервер использует для своего пула энтропии? Я заметил несколько советов по использованию rng-tools /dev/urandom на той же или другой машине, но это "чувствует себя грязным".
Кроме того, возможно ли увеличить максимальный размер пула? В настоящее время, кажется, макс на 3585.
3 ответа
Если вы готовы немного сойти с ума, как насчет демона энтропии аудио или демона энтропии видео? Просто включите видео или аудио клип и позвольте им генерировать случайность для вас.
Немного менее диким методом был бы демон энтропии таймера.
Есть ли на материнской плате аудио чип? В этом случае вы можете использовать "белый шум" для энтропии.
Посмотрите на эту статью.
Я понимаю, что ваша первоначальная публикация указала на то, что вы предпочитаете не аппаратное решение ГСЧ. Тем не менее, я недавно приобрел один из них: http://www.entropykey.co.uk/ и должен сказать, что он выглядит довольно неплохо при относительно низкой стоимости. Кроме того, он может быть разделен по сети между несколькими машинами.