[Momonga-devel.ja:02362] Re: developer.momonga-linux.org 復旧のお知らせ

From: TAKAHASHI Tamotsu <tamo@xxxxxxxxxxxxxxxxx>
Date: Fri, 5 Dec 2003 19:48:07 +0900

tamo です。

On Thu, 04 Dec 2003, zunda wrote:

> > 「ほとんどの場合 /dev/random は使う必要がない」
> > と書いてあるものもありました。
> 
> むらけんさんも書いていますが、暗号化をして通信をする際には
> 乱数の予測不可能性が大切なのだそうです(勉強しなくちゃ)。
> そういうわけで、安易に
> 
> > urandom を使うようにするといいのかも?
> 
> のは良くないように思えます。

確かに。

ということで「安易」なのかどうか調査してみました。
長期利用するPGPの鍵生成などには良くない(かも)ですが、
mod_auth_digest はそれほど randomness が必要では
ないもののようなので (実際、ちょっと前までは
単なる MIME エンコードしかできなかったわけだし
もっと暗号化したけりゃ SSL 使うわけだし)
urandom でも十分じゃないかという感じがしました。

SSLRandomSeed に関してさえ
Here using an existing /dev/urandom is better, because it never blocks
and actually gives the amount of requested data. The drawback is just
that the quality of the received data may not be the best.
とあるようです。(http://httpd.apache.org/docs-2.0/mod/mod_ssl.html);
"may not be the best" ということで、
paranoid でなければ気にしなくても良いよ、
というような書き方に思えます。

ちなみに、Security-HOWTO にも
http://www.linux.or.jp/JF/JFdocs/Security-HOWTO-6.html#ss6.3
urandom が「ほとんどの目的に対してはこれで十分」とありました。

DoS 状態になってしまう不安を抱えるよりは urandom にした方が
いい……んじゃないかなぁ、と思います。強くは主張しませんが。

なお、方法としては、Configuration.tmpl に
Rule DEV_RANDOM=/dev/urandom
と書けばパッチは要らないというようなことも
どこかに書いてありました。

-- 
tamo

References:
- [Momonga-devel.ja:02355] Re: developer.momonga-linux.org 復旧のお知らせ
  - From: TAKAHASHI Tamotsu
- [Momonga-devel.ja:02358] Re: developer.momonga-linux.org 復旧のお知らせ
  - From: zunda

Prev by Date: [Momonga-devel.ja:02361] Re: kernel-2.4.22-28m以降のソースだと DirectFBが Buildできない?
Next by Date: [Momonga-devel.ja:02363] Re: kernel-2.4.22-28m以降のソースだと DirectFBが Buildできない?
Previous by thread: [Momonga-devel.ja:02358] Re: developer.momonga-linux.org 復旧のお知らせ
Next by thread: [Momonga-devel.ja:02360] kernel-2.4.22-28m以降のソースだと DirectFBが Buildできない?
Index(es):
- Date
- Thread