<div dir="ltr">On Sat, Aug 17, 2013 at 6:39 PM, Sandy Harris <span dir="ltr"><<a href="mailto:sandyinchina@gmail.com" target="_blank">sandyinchina@gmail.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">shawn wilson <<a href="mailto:ag4ve.us@gmail.com">ag4ve.us@gmail.com</a>> wrote:<br>

<br>
> I thought that decent crypto programs (openssh, openssl, tls suites)<br>
> should read from random so they stay secure and don't start generating<br>
> /insecure/ data when entropy runs low.<br>
<br>
(Talking about Linux, the only system where I know the details)<br>
<br>
urandom uses cryptographically strong mixing (SHA-1) and has<br>
enormous state, so it should be secure barring pathological<br>
cases like the router vendors whose version of Linux failed to<br>
initialise things properly or an enemy who already has root on<br>
your system so he/she can look at kernel internals. (and that<br>
enemy has much better targets to go after).<br></blockquote><div><br></div><div>IMHO <span style="font-size:13px;color:rgb(0,0,0);font-family:Arial,sans-serif;line-height:15px">I found related to this discussion this article on LWN (</span><a target="blank" href="http://www.linkedin.com/redirect?url=https%3A%2F%2Flwn%2Enet%2FArticles%2F525459%2F&urlhash=Pvmd&_t=tracking_anet" rel="nofollow" style="font-size:13px;margin:0px;padding:0px;border:0px;outline:0px;font-family:Arial,sans-serif;vertical-align:baseline;text-decoration:none;color:rgb(0,102,153);line-height:15px">https://lwn.net/Articles/525459/</a><span style="font-size:13px;color:rgb(0,0,0);font-family:Arial,sans-serif;line-height:15px">) , which describes the developments in the recent years on the generation of random numbers in the linux kernel. In particular, it discusses the talk "Do not Play Dice With Random Numbers" by Peter Alvin at LinuxCon Europe 2012 (</span><a target="blank" href="http://www.linkedin.com/redirect?url=https%3A%2F%2Fevents%2Elinuxfoundation%2Eorg%2Fimages%2Fstories%2Fpdf%2Flceu2012_anvin%2Epdf&urlhash=K2Ee&_t=tracking_anet" rel="nofollow" style="font-size:13px;margin:0px;padding:0px;border:0px;outline:0px;font-family:Arial,sans-serif;vertical-align:baseline;text-decoration:none;color:rgb(0,102,153);line-height:15px">https://events.linuxfoundation.org/images/stories/pdf/lceu2012_anvin.pdf</a><span style="font-size:13px;color:rgb(0,0,0);font-family:Arial,sans-serif;line-height:15px"> )</span></div>
<br style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:13px;line-height:15px"><div><span style="color:rgb(0,0,0);font-family:Arial,sans-serif;font-size:13px;line-height:15px">"Randomness is a subtle property. To illustrated this, Peter displayed a photograph of three icosahedral says That He'd thrown at home, saying" here, if you need a random number, you can use 846. "Why does not this work , he asked. First of all, a random number is only random ounces. Additions in, it is only random until we know what it is. These facts are not the same thing. Peter Noted That It is possible to misuse by a random number reusing it, this can lead to breaches in security protocols."</span></div>
<div><br></div><div><font color="#000000" face="Arial, sans-serif"><span style="line-height:15px">Best Regards</span></font></div></div></div></div>