>>>Если бы программисты использовали в качестве источника энтропии /dev/urandom,
>>>этого бы не произошло.
>
>1) насколько понимаю, это было design decision
>2) используют: http://www.openssl.org/support/faq.cgi#USER1Прочитал по ссылке - действительно используют /dev/[u]random.
Почему тогда исключение неинициализированного массива из источников энтропии привело к резкому снижению количества генерируемых ключей? Получается массив был основным источником энтропии?
>>Дескать слишком много юзают девайс.Эээ а он разве не для
>>того сделан чтобы юзать?
>
>Почитайте urandom(4) в части сравнения с random(4) -- во-первых, эти два девайса
>уже созданы с разными целями и предоставляют разное качество случайности; во-вторых,
>оба они выюзывают enthropy pool, который потихоньку заполняется из ряда источников
>ядром.
Прочитал. random даёт столько бит, сколько есть в пуле, urandom - сколько запрошено, пусть даже энтропия будет хуже по качеству.
>Суть предъявы -- в колодец с питьевой водой загнали грязный шланг и
>ну в бетономешалку сосать. Вместо того, чтоб из соседнего пруда.
Не понял смысла предложения. Это получается у Вас: колодец - random, пруд - urandom, а грязный шланг - это неинициализированный массив, бетономешалка - это их (OpenSSLщиков) внутренний буфер энтропии?
Поясните простыми и доходчивыми словами, мутных без аналогий, а то остаётся только догадываться кого вы защищаете, а на кого наезжаете?