Question gpg --gen-key s'accroche pour gagner assez d'entropie sur centos 6


Essayer de générer une clé pour un serveur.

gpg --gen-key

Nous devons générer beaucoup d'octets aléatoires. C'est une bonne idée de jouer   une autre action (tapez sur le clavier, déplacez la souris, utilisez le   disques) pendant la génération principale; cela donne le nombre aléatoire   générer une meilleure chance de gagner assez d'entropie.

et ça reste juste là.

Il y a une autre erreur:

ne peut pas se connecter à `/root/.gnupg/S.gpg-agent ': Aucun fichier ou répertoire de ce type

qui semble disparaître après:

gpg-agent --daemon
  GPG_AGENT_INFO = / tmp / gpg-4c5hyT / S.gpg-agent: 1397: 1; export GPG_AGENT_INFO;

#GPG_AGENT_INFO=/tmp/gpg-4c5hyT/S.gpg-agent:1397:1; export GPG_AGENT_INFO;
gpg --gen-key
...

mais encore une fois, il se bloque à "... gagner assez d'entropie".

Il n'y a pas de "++++++++++++++++++++++++++++++++++++++++++" à partir des messages du forum devrait ressembler devrait être attendu que la clé est générée.

J'ai essayé de réinstaller le paquet, mais apparemment tout dépend de gpg.

J'ai aussi lu d'autres lecteurs sur centos 6 (alors que centos 5 fonctionne bien).

Il n'y a rien de remarquable dans /var/log/*.

Des idées sur où aller d'ici?

Merci.


32
2018-01-22 15:36


origine


rng-tools n’est une solution que si vous avez un HSM, les réponses qui le recommandent échoueront sur les systèmes sans cela. Vous verrez un message du type: Démarrage du démon du rassembleur d'entropie RNG matériel: (Inode du périphérique RNG matériel introuvable) - JohnErinthen


Réponses:


Quand le gpg --gen-key La commande se bloque comme ceci, connectez-vous à un autre shell et exécutez la commande suivante:

dd if=/dev/sda of=/dev/zero

(Cette commande lit essentiellement sur votre disque dur et rejette la sortie, car écrire sur /dev/zero ne fera rien.)

Après quelques secondes / minutes, la commande de génération de clé devrait se terminer.


32
2018-01-22 15:56



Impressionnant. Je vous remercie. Je ne peux pas croire que j'ai manqué cette partie du manuel: / - stormdrain
Ce serait une bien meilleure idée de saisir une entropie différente à chaque fois. Si votre système manque constamment d'entropie, il y a un problème en ce qui concerne votre configuration ou vous utilisez l'entropie très rapidement (au point où vous devriez avoir un GNA matériel). Si vous avez besoin de plus d'entropie régulièrement, il existe des emplacements valides pour télécharger simplement plus, comme RNG Quantum de Humboldt-Universität. - Chris S
@ChrisS Merci. Je n'avais besoin que de générer la clé une fois pour une utilisation avec un système d'authentification; ce ne sera pas une chose en cours. Si cela devenait plus fréquent, j'utiliserais le HSM vendu par la société (ce que j'avais prévu de toute façon). Cela était source de confusion, car rien n’indiquait que le processus était toujours en cours. Même ps semblait indiquer qu'il était juste assis là ... - stormdrain
J'ai effectivement essayé cela, mais comme je n'avais pas de racine, je ne pouvais pas accéder directement à / dev / sda. Ce qui a fonctionné pour moi à la place était find / | xargs file - carl.anderson
J'étais plus à l'aise de courir find / | xargs file au lieu de dd if=/dev/sda of=/dev/zero et après une minute c'était fait. Merci! - Lea


Pour une solution plus fiable, vous pouvez installer des utilitaires liés au générateur de nombres aléatoires, qui vous permettront de toujours disposer d'un nombre suffisant d'octets aléatoires.

yum install rng-tools

puis éditez /etc/sysconfig/rngd et ajouter EXTRAOPTIONS="-r /dev/random"

Démarrer le service

 service rngd start

Voilà et vous vivez heureux pour toujours :)


14
2018-01-23 04:07



Si vous ne voulez pas démarrer le service, vous pouvez simplement exécuter rngd -r /dev/random comme root une fois rng-tools est installé. Votre génération de clé va décoller immédiatement. - davidjb
Mais cela ne génère pas d'entropie. - Otheus


Les deux commentaires donnés avant sont parfaitement bien. Mais voici juste mes 2 cents.

Le problème avec RHEL / centos 6 et l’entropie est qu’il s’agit d’un noyau sans tic. Donc, à eux seuls, ces noyaux ne génèrent pas assez d'entropie. Vous devez avoir un clavier connecté ou même un mouvement de souris ou utiliser dd comme indiqué.

Le démon rngd est génial et la plupart des entités commerciales l'utilisent.

Cependant, la meilleure approche que j'ai vue consiste à utiliser un périphérique TPM dédié. Ce sont de petits matériels assez chers. Vous les mettez et rngd utilise une entropie vraie aléatoire à partir de la source matérielle. Pour autant que je sache, Fujitsu possède un bon périphérique TPM.

Oui, ces trois méthodes couvrent à peu près la partie entropie.


6
2018-01-23 17:10



Très intéressant. Je vous remercie. Comme je l'ai mentionné à Chris, j'aurai bientôt accès à un HSM qui vient avec un GNR. - stormdrain


EXTRAOPTIONS = "- r / dev / urandom" a fonctionné pour moi au lieu de EXTRAOPTIONS = "- r / dev / random"


3
2017-10-10 20:46





Twist sur d'autres réponses, mais au moins une doublure et non racine.

((find / | xargs file) &> /dev/null &); gpg2 --gen-key --batch --passphrase-file output-key.txt key-gen-options.txt

Key-gen-options contient

Key-Type: 1
Key-Length: 2048
Subkey-Type: 1
Subkey-Length: 2048
Name-Real: myuser
Name-Email: myuser@email.com
Expire-Date: 0

Output-key.txt contient ma clé super secrète.


3
2018-01-17 17:03





https://gist.github.com/franciscocpg/1575d286548034113884c3185ca88681

Ouvrir une session SSH sudo apt-get install rng-tools Dans une autre fenêtre SSH ouverte gpg --gen--key Retournez à votre première session SSH et lancez sudo rngd -r /dev/urandom Laissez cette course jusqu'à ce que gpg génère vos clés!

Alors tu peux tuer rngd sudo kill -9 $(pidof rngd)


1
2018-06-07 14:34





Comment je l'ai fait:

  1. pacman -S community/rng-tools
  2. vim /etc/conf.d/rngd ajouter RNGD_OPTS="-r /dev/urandom"
  3. systemctl enable --now rngd
  4. gpg-agent --daemon
  5. gpg --full-gen-key

A travaillé même quand $GNUPGHOME est défini pour pointer vers un répertoire personnalisé.


0
2017-08-08 11:57