gpg --gen-key, centos 6'da yeterince entropi kazanılmasını engelliyor


49

Bir sunucu için bir anahtar oluşturmaya çalışıyorum.

gpg --gen-key

Çok fazla rastgele bayt oluşturmamız gerekiyor. Ana nesil sırasında başka bir işlem (klavyede yazın, fareyi hareket ettirin, diskleri kullanın) gerçekleştirmek iyi bir fikirdir; Bu, rasgele sayı üretecine yeterli entropi kazanması için daha iyi bir şans verir.

ve sadece orada asılı.

Başka bir hata var:

`/root/.gnupg/S.gpg-agent '' a bağlanamıyor: Böyle bir dosya veya dizin yok

Hangi sonra gider gibi görünüyor:

gpg aracısı -
gündem GPG_AGENT_INFO = / tmp / gpg-4c5hyT / S.gpg aracısı: 1397: 1; GPG_AGENT_INFO ver;

#GPG_AGENT_INFO=/tmp/gpg-4c5hyT/S.gpg-agent:1397:1; export GPG_AGENT_INFO;
gpg --gen-key
...

ama yine de, "... yeterince entropi kazan" dır.

"++++++++++++++++++++++++++++++++++++++++++++++++++" forum mesajlarından, anahtar üretilirken beklendiği gibi görünmesi gerekir.

Paketi yeniden yüklemeyi denedim, ancak görünüşe göre her şey gpg'ye bağlı.

Bununla birlikte centos 6'da problem yaşayan diğer insanları da okudum (oysa centos 5 iyi çalışıyor).

Kayda değer bir şey yok /var/log/*.

Buradan nereye gideceğine dair bir fikrin var mı?

Teşekkürler.


rng-tools sadece bir HSM'niz varsa bir çözümdür, bunun önerildiği cevaplar bu sistemlerde başarısız olur. Gibi bir mesaj göreceksiniz: Donanım RNG entropi toplayıcı daemon Başlatılıyor: (Donanım RNG cihazı inode bulunamadı)
JohnErinthen

Yanıtlar:


49

Ne zaman gpg --gen-keykomut bu gibi sallandığı başka kabuğa giriş yapın ve aşağıdaki komutu uygulayın:

dd if=/dev/sda of=/dev/zero

(Bu komut temel olarak sabit sürücünüzden okur ve çıktıyı atar, çünkü yazmak /dev/zerohiçbir şey yapmaz.)

Birkaç saniye / dakika sonra, anahtar oluşturma komutu tamamlanmalıdır.


2
Muhteşem. Teşekkür ederim. Kılavuzun bu bölümünü özlediğime inanamıyorum: /
stormdrain

2
Her seferinde farklı entropi elde etmek daha iyi bir fikir olacaktır. Eğer sisteminizde sürekli entropi bitiyorsa, konfigürasyonunuzda çok yanlış bir şey var veya entropiyi çok hızlı kullanıyorsunuzdur (donanımsal bir RNG'niz olması gereken noktaya kadar). Düzenli olarak daha fazla entropiye ihtiyacınız varsa, Humboldt-Universität’in Quantum RNG gibi, daha fazlasını indirmek için geçerli yerler vardır .
Chris S,

18
Bunu gerçekten denedim, ancak kök olmadığım için / dev / sda'ya doğrudan erişemedim. Benim için işe find / | xargs file
yarayan

2
Onun find / | xargs fileyerine koşmak daha rahattı dd if=/dev/sda of=/dev/zerove bir dakika sonra yapıldı. Teşekkürler!
Lea,

1
Şunu musunuz of=/dev/null?
maxschlepzig

22

Daha güvenilir bir çözüm için, her zaman yeterince rastgele bayt olduğundan emin olmanızı sağlayacak rasgele sayı üreteci ile ilgili yardımcı programları kurabilirsiniz.

yum install rng-tools

ve sonra düzenleyin /etc/sysconfig/rngdve ekleyinEXTRAOPTIONS="-r /dev/random"

Hizmeti başlat

 service rngd start

Voila ve sen sonsuza dek mutlu yaşıyorsun :)


5
Hizmeti başlatmak istemiyorsanız, bir rngd -r /dev/randomkez rng-toolsyüklendikten sonra root olarak çalıştırabilirsiniz . Anahtar oluşturma işleminiz derhal başlayacaktır.
davidjb

2
Ancak bu kendisi entropi üretmez.
Otheus

7

Daha önce verilen her iki yorum da gayet iyi. Ama burada sadece benim 2 kuruş.

RHEL / centos 6 ve entropi ile ilgili sorun, onların kene çekirdeksiz olmalarıdır. Dolayısıyla, kendi başlarına bu çekirdeğin yeteri kadar entropi üretmez. Bazı klavye takılı tutmanız, hatta bazı fare hareketleri yapmanız ya da dd'yi kullanmanız gerekir.

rngd daemon harika ve çoğu ticari işletme kullanıyor.

Ancak, gördüğüm en iyi yaklaşım özel TPM cihazının kullanılmasıdır. Bunlar oldukça pahalı olan küçük donanımlardır. Onları koyarsınız ve rngd donanım kaynağından rastgele gerçek entropi kullanır. Bildiğim kadarıyla, Fujitsu'nun iyi bir TPM cihazı var.

Evet, bu üç yöntem de entropi bölümünü kapsıyor.


Çok ilginç. Teşekkür ederim. Chris'e bahsettiğim gibi, yakında bir RNG ile gelen bir HSM'ye erişimim olacak.
stormdrain

4

Diğer tepkileri bükün, ancak en az bir astar ve kök değil.

((find / | xargs file) &> /dev/null &); gpg2 --gen-key --batch --passphrase-file output-key.txt key-gen-options.txt

Anahtar-gen-seçenekleri içerir

Key-Type: 1
Key-Length: 2048
Subkey-Type: 1
Subkey-Length: 2048
Name-Real: myuser
Name-Email: myuser@email.com
Expire-Date: 0

Output-key.txt süper gizli anahtarımı içeriyor.



3

ÇIKIŞLAR = "- r / dev / urandom" ÇALIŞMALAR yerine benim için çalıştı = "- r / dev / random"


1

Nasıl yaptım:

  1. pacman -S community/rng-tools
  2. vim /etc/conf.d/rngd eklemek RNGD_OPTS="-r /dev/urandom"
  3. systemctl enable --now rngd
  4. gpg-agent --daemon
  5. gpg --full-gen-key

$GNUPGHOMEÖzel bir dizine işaret etmek için ayarlanmış olsa bile çalıştı .


1

Tüm çözümleri denedim ve havegeddiğerleri işe yaramazsa bile (özellikle fazla kullanıcı girişi ya da etkinliği olmayan başsız bir sunucuda) en iyi şekilde çalıştığını gördüm .

yum install haveged

apt install haveged

Entropi dolu havegedtutacak olan daemon servisini başlatıyor /dev/random. --key-genbir dakikadan daha az sürede tamamlanmalıdır.

Çalıştırarak doğrulayabilirsiniz cat /dev/random. Normalde, hızla entropi biter ve duraklar. Bu yüzden --key-genkilitleniyor. Ama yükledikten sonra haveged, cat /dev/randomsürekli çıkış sağlamalıdır.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.