-snip-
Zu [2]: Unter der Annahme, dass der Entropiepool immer voll ist, dann wuerde doch gelten:
/dev/random = /dev/urandom
Richtig?
Das ist richtig. Also, die Werte werden nicht identisch sein, aber ich interpretier das "=" mal als "gleichwertig" und nicht als "identisch".
D.h., wenn man paranoid ist, so sollte das Ziel sein den Entropiepool immer moeglichst voll zu halten?
Naja, das ist ja genau die Krux. Entropie zu messen ist ein bisschen Hexenwerk. Das wird geschätzt, weil man Entropie nicht einfach zählen oder messen kann. Wenn sich der Algorithmus dafür also verschätzt hast Du effektiv sowieso /dev/urandom. Es gibt dafür Modelle die das einschätzen und die sind wohl auch relativ gut, aber die Zufallszahlen die aus dev/urandom rausfallen wenn wenig Entropie übrig ist sind deswegen nicht auf einmal schlecht. Wichtig ist lediglich das anfänglich ausreichend Entropie verhanden war um den CPRNG zu initialisieren.
Wenn Du was für den eigenen Bedarf schreibst und zur Paranoiafraktion gehörst, dann nimm /dev/random und warte ggf. ein bisschen. Es schadet nicht. Das größte Problem beim benutzen von /dev/urandom ist wenn Du für jemand anderen schreibst.
Ich war mal auf ner Cryptoparty mit jemandem der sich ein frisches Ubuntu auf nen Laptop mit SSD gezogen hat. Der musste 15 Minuten auf dem touchpad schrubbeln, wild tippen und im Hintergrund Videos laden um seinen 4096 bit key zu bekommen. Das hällt im schlimmsten Fall Menschen davon ab überhaupt zu verschlüsseln oder sie generieren sich einen 1024 bit key (geht ja schneller). Der Sicherheitsgewinn dabei ist minimal, wenn überhaupt vorhanden.
Im Endeffekt ist mein Wissen zu dem Thema auch ziemlich beschränkt, aber was ich so von Menschen wie djb[1] (ist glaub ich im Artikel auch zitiert) lese reicht mir um immer /dev/urandom zu benutzen und weniger Zeit mit warten zu verbringen
[1]
http://cr.yp.to/
