Per quanto ne so non ce ne sono, è una nicchia piuttosto specifica. Tuttavia dovrebbe essere facile configurare qualsiasi BSD / Linux Distro per soddisfare le tue esigenze.
Parlo principalmente dell'esperienza di FreeBSD, ma dovrebbe essere abbastanza simile per altri BSD e Linux. È facile compilare un kernel e semplicemente deselezionare tutte le risorse di rete. In una CPU media questo richiede 3-5 minuti per FreeBSD. Probabilmente ancora più veloce se escludi molte cose. Oltre a questo puoi disabilitare le porte di rete nel BIOS.
Ma dovresti chiederti quale sia il tuo modello di minaccia e se vuoi la firma / generazione di chiavi "online" o "offline". Se il tuo modello di minaccia include aggressori locali, vuoi persino un sistema che funzioni continuamente? Vulnerabili agli attacchi a freddo, agli attacchi di badusb e agli exploit di bios?
Se dovessi installare un sistema separato con air gap, userei semplicemente una coda o cd livebs freebsd. Usa una volta una volta cd-r / dvd-r. Dopo averlo scritto, puoi confermare su più macchine indipendenti tramite checksum che hai un cd live che non è stato manomesso. Ora usa questo live cd per avviare il tuo hardware 'air gaped' e una volta avviato decifri un disco rigido con le tue chiavi segrete e puoi fare le tue operazioni.
Il vantaggio di usare un cd dal vivo è che puoi tenerlo aggiornato semplicemente creando uno nuovo con le patch incluse. Se si dovesse installare un sistema separato senza collegamento in rete, sarebbe difficile mantenere aggiornato / sicuro. Solo avviando il cd live quando necessario e lasciando quindi il disco rigido offline e crittografato, si evita anche di essere vulnerabili agli attacchi di avvio a freddo o ad altri attacchi di host locali contro un sistema in esecuzione.
Quindi alcuni spunti di riflessione, per prima cosa definisci correttamente quale sia il tuo modello di minaccia; chi o cosa stai cercando di difendere contro? E poi affrontarlo.
Un'altra soluzione potrebbe essere qualcosa di simile a usbarmory , è un computer completamente funzionale senza dispositivi di input diversi da USB. Molto a prova di manomissione e abbastanza piccolo da essere in grado di tenere il dispositivo sempre con te.
Ora parliamo di entropia. C'è una varietà di cose che potresti fare qui, ovviamente più entropia, meglio è. Penso che il generatore di numeri casuali di FreeBSD, OpenBSD o Linux possa essere considerato di gran lunga superiore agli altri. Sono tutti abbastanza solidi.
Alcuni materiali di lettura extra: RNG di Linux , RNG di OpenBSD e RNG di FreeBSD
Tutti fanno un buon lavoro nel mescolare diverse fonti di casualità. Se vuoi una casualità in più perché non ci sono molte fonti di entropia potresti prendere in considerazione la possibilità di ottenere un RNG hardware separato, ad esempio OneRNG .
Tutte le distro / bds verranno fornite con OpenSSL preinstallato, OpenBSD verrà fornito con LibreSSL. LibreSSL può anche essere facilmente installato su Freebsd. Quindi tutte le operazioni crittografiche comuni dovrebbero essere immediatamente disponibili.