Come posso utilizzare OpenSSL con una fonte esterna di casualità?

1

Quando si generano chiavi RSA usando OpenSSL, se voglio usare una fonte esterna di casualità (per esempio un HSM che può fornire numeri casuali), è il modo migliore per ottenere un nuovo numero casuale (per ogni generazione), scaricarlo su un file, e quindi usa quel file nella riga di comando di OpenSSL con -rand ?

È necessario inviare un palloncino a quel file con diversi kB di numeri casuali?

    
posta Nik 19.11.2016 - 18:14
fonte

1 risposta

2

OpenSSL userà /dev/random se disponibile. E: questa è un'ottima fonte di entropia, specialmente se usata con una fonte hardware di entropia. Ti consiglio di guardare l'eccellente lezione tenuta al 32c3 su equivoci e realtà di / dev / random:

Quindi: utilizza il generatore di hardware per alimentare il pool di entropia del sistema operativo e lascia che sia OpenSSL a gestirlo. L'alimentazione diretta di OpenSSL dal tuo hardware potrebbe funzionare, ma in realtà non è migliore - e, soprattutto, si elimina il passaggio intermedio di dumping della casualità in un file, che potrebbe lasciare tracce che potrebbero essere successivamente utilizzate per ricostruire la generazione di chiavi.

    
risposta data 19.11.2016 - 18:46
fonte

Leggi altre domande sui tag