Frage gpg --gen-key hängt daran, genug Entropie auf Centos 6 zu gewinnen


Versuchen, einen Schlüssel für einen Server zu generieren.

gpg --gen-key

Wir müssen viele zufällige Bytes generieren. Es ist eine gute Idee zu spielen   eine andere Aktion (tippen Sie auf die Tastatur, bewegen Sie die Maus, verwenden Sie die   Platten) während der Prime-Generation; Dies gibt die Zufallszahl   Generator eine bessere Chance, genug Entropie zu gewinnen.

und es hängt einfach dort.

Es gibt einen weiteren Fehler:

Verbindung zu `/root/.gnupg/S.gpg-agent 'nicht möglich: Keine solche Datei oder Verzeichnis

was scheint wegzugehen nach:

gpg-agent --daemon
  GPG_AGENT_INFO = / tmp / gpg-4c5hyT / S.gpg-Agent: 1397: 1; export GPG_AGENT_INFO;

#GPG_AGENT_INFO=/tmp/gpg-4c5hyT/S.gpg-agent:1397:1; export GPG_AGENT_INFO;
gpg --gen-key
...

aber wiederum hängt es bei "... genug Entropie gewinnen".

Es gibt keine "++++++++++++++++++++++++++++++++++++++++" aus Forenposts sieht aus wie sollte erwartet werden, da der Schlüssel generiert wird.

Ich habe versucht, das Paket neu zu installieren, aber scheinbar hängt alles von gpg ab.

Ich habe auch andere Leute gelesen, die auf Centos 6 Probleme haben (während Centos 5 gut funktioniert).

Es ist nichts Bemerkenswertes darin /var/log/*.

Irgendwelche Ideen, wohin du von hier aus gehst?

Vielen Dank.


32
2018-01-22 15:36


Ursprung


Rng-Tools ist nur eine Lösung, wenn Sie ein HSM haben, Antworten, die empfehlen, dass dies auf Systemen ohne dieses fehlschlagen wird. Sie werden eine Nachricht sehen wie: Start Hardware RNG Entropy Gatherer Daemon: (Hardware RNG Gerät Inode nicht gefunden) - JohnErinthen


Antworten:


Wenn der gpg --gen-key Befehl hängt wie folgt, melden Sie sich bei einer anderen Shell an und führen Sie den folgenden Befehl aus:

dd if=/dev/sda of=/dev/zero

(Dieser Befehl liest im Grunde von Ihrer Festplatte und verwirft die Ausgabe, weil Sie auf schreiben /dev/zero wird nichts tun.)

Nach einigen Sekunden / Minuten sollte der Schlüsselgenerierungsbefehl abgeschlossen sein.


32
2018-01-22 15:56



Genial. Vielen Dank. Ich kann nicht glauben, dass ich diesen Teil des Handbuchs vermisst habe: / - stormdrain
Es wäre eine viel bessere Idee, jedes Mal eine andere Entropie zu wählen. Wenn dein System ständig Entropie hat, dann stimmt etwas nicht mit deiner Konfiguration oder du verwendest die Entropie sehr schnell (bis zu dem Punkt, an dem du einen Hardware RNG haben solltest). Wenn Sie mehr Entropie regelmäßig brauchen, gibt es gültige Orte, um einfach mehr herunterzuladen, wie Quantum RNG der Humboldt-Universität. - Chris S
@ChrisS Danke. Ich musste den Schlüssel nur einmal für die Verwendung mit einem Authentifizierungssystem generieren; Es wird keine andauernde Sache sein. Sollte es häufiger zu einem Problem kommen, werde ich das HSM verwenden, das das Unternehmen verkauft (was ich sowieso vorhatte). Dies war nur verwirrend, weil es überhaupt keinen Hinweis darauf gab, dass der Prozess noch lief. Sogar ps schien darauf hinzuweisen, dass es nur da saß ... - stormdrain
Ich habe es tatsächlich versucht, aber da ich keine Root hatte, konnte ich nicht direkt auf / dev / sda zugreifen. Was für mich funktionierte, war find / | xargs file - carl.anderson
Ich lief besser find / | xargs file anstatt dd if=/dev/sda of=/dev/zero und nach einer Minute war es getan. Vielen Dank! - Lea


Für eine zuverlässigere Lösung könnten Sie mit dem Zufallsgenerator verbundene Dienstprogramme installieren, die sicherstellen, dass Sie immer genügend zufällige Bytes haben.

yum install rng-tools

und dann bearbeiten /etc/sysconfig/rngd und hinzufügen EXTRAOPTIONS="-r /dev/random"

Starten Sie den Dienst

 service rngd start

Voila und du lebst glücklich bis ans Ende :)


14
2018-01-23 04:07



Wenn Sie den Dienst nicht starten möchten, können Sie einfach ausführen rngd -r /dev/random als root einmal rng-tools ist installiert. Ihre Schlüsselgeneration wird sofort starten. - davidjb
Aber das selbst erzeugt keine Entropie. - Otheus


Beide Kommentare sind völlig in Ordnung. Aber hier sind nur meine 2 Cent.

Das Problem mit RHEL / Centos 6 und Entropie ist, dass es sich um kitzellose Kerne handelt. Diese Kerne erzeugen also nicht genug Entropie. Sie müssen einige Tastatur oder sogar eine Mausbewegung oder verwenden Sie dd wie erwähnt.

Der rngd-Daemon ist genial und die meisten kommerziellen Entitäten verwenden ihn.

Der beste Ansatz, den ich gesehen habe, ist jedoch die Verwendung eines dedizierten TPM-Geräts. Sie sind kleine Hardware, die ziemlich teuer sind. Sie setzen sie und rngd verwendet zufällige wahre Entropie von der Hardware-Quelle. Soweit ich weiß, hat Fujitsu ein gutes TPM-Gerät.

Ja, diese drei Methoden decken den Entropie-Teil ziemlich genau ab.


6
2018-01-23 17:10



Sehr interessant. Vielen Dank. Wie ich Chris bereits erwähnte, werde ich bald Zugang zu einem HSM haben, der mit einem RNG geliefert wird. - stormdrain


EXTRAOPTIONS = "- r / dev / urandom" funktionierte für mich statt EXTRAOPTIONS = "- r / dev / random"


3
2017-10-10 20:46





Twist auf andere Antworten, aber mindestens einen Liner und nicht root.

((find / | xargs file) &> /dev/null &); gpg2 --gen-key --batch --passphrase-file output-key.txt key-gen-options.txt

Key-Gen-Optionen enthält

Key-Type: 1
Key-Length: 2048
Subkey-Type: 1
Subkey-Length: 2048
Name-Real: myuser
Name-Email: myuser@email.com
Expire-Date: 0

Output-key.txt enthält meinen super geheimen Schlüssel.


3
2018-01-17 17:03





https://gist.github.com/franciscocpg/1575d286548034113884c3185ca88681

Öffnen Sie eine SSH-Sitzung sudo apt-get install rng-tools In einem anderen geöffneten SSH-Fenster gpg --gen--key Geh zurück zu deiner ersten SSH-Sitzung und renne sudo rngd -r /dev/urandom Lass das laufen bis gpg deine Schlüssel generiert!

Dann kannst du töten rngd sudo kill -9 $(pidof rngd)


1
2018-06-07 14:34





Wie ich es gemacht habe:

  1. pacman -S community/rng-tools
  2. vim /etc/conf.d/rngd hinzufügen RNGD_OPTS="-r /dev/urandom"
  3. systemctl enable --now rngd
  4. gpg-agent --daemon
  5. gpg --full-gen-key

Arbeitete auch wenn $GNUPGHOME ist so eingestellt, dass es auf ein benutzerdefiniertes Verzeichnis zeigt.


0
2017-08-08 11:57