Per un utente di computer "normale", fa una differenza avere una buona fonte di entropia?

Naviga le tue risposte
2

Prendiamo, per esempio, Linux. Dalla mia comprensione, ci sono diverse fonti e modi diversi che possono essere utilizzati per raccogliere entropia (daemon RNG, Intel rrandr, TPM, ecc.). Alcuni producono entropia che è di "qualità migliore" rispetto ad altri. Ma, in realtà, è importante per un utente "normale"?

(Supponiamo che un utente utilizzi solo browser Web, programmi per ufficio e un gestore di password).

In quali casi il computer utilizza entropia dal pool?

  • Lo utilizza durante la navigazione in siti Web https?

  • Lo utilizza durante la crittografia di un file con 7zip o con un gestore di password?

posta puzzle 10.08.2018 - 00:11
fonte

1 risposta

3

Per i casi più , la qualità della casualità è sopravvalutata.

Sì, è importante, può portare a brutte conseguenze se fatto male, ma ci sono così tanti errori più facili che la qualità casuale sarebbe alla fine del tuo elenco di preoccupazioni:

  • bug del sistema operativo
  • Bug del browser
  • Password WiFi errata
  • Riutilizzo della password
  • Password del router predefinite o codificate

L'elenco è lungo. Se sei colpito da uno di questi, perdi. Sfruttare il RNG per rubare informazioni è poco pratico se l'attaccante può sfruttare uno di questi problemi. Rompere il RNG dovrebbe essere l'ultima risorsa.

Devi calcolare il prezzo da proteggere rispetto al valore informativo. L'attaccante fa lo stesso. Se non stai utilizzando il PRNG imperfetto per proteggere qualcosa di molto prezioso, sei a posto. Non usarlo per generare un certificato bancario, un portafoglio Bitcoin con un sacco di monete, cose del genere.

Proteggere un file 7zip o navigare usando HTTPS non sarà molto più sicuro se si utilizza un PRNG incorporato o CloudFlare Lava Lamp RNG .

    
risposta data 10.08.2018 - 04:16
fonte

Leggi altre domande sui tag

Rivelare l'IP di un destinatario di posta elettronica usando lo script PHP remoto o il tracciamento dei pixel Perché il database CVE ufficiale non elenca i nomi dei reporter?