Por lo que yo sé, no hay ninguno, es un nicho específico. Sin embargo, debería ser fácil configurar cualquiera de los BSDs / Linux Distro para satisfacer sus necesidades.
Hablo principalmente desde la experiencia de FreeBSD, pero debería ser bastante similar para otros BSD y Linux. Es fácil compilar un kernel y simplemente deseleccionar todo el material de red. En un cpu promedio, esto toma 3-5 minutos para Freebsd. Probablemente incluso más rápido si excluyes muchas cosas. Además de esto, puede desactivar los puertos de red en el BIOS.
Pero debería preguntarse cuál es su modelo de amenaza y si desea la generación de claves / firmas "en línea" o "sin conexión". Si su modelo de amenaza incluye atacantes locales, ¿quiere incluso un sistema que se ejecute continuamente? ¿Vulnerable a los ataques de arranque en frío, ataques de badusb y bios exploits?
Si tuviera que configurar un sistema separado con espacio de aire, simplemente usaría las colas o el CD en vivo de Freebsd. Utilice una escritura una vez cd-r / dvd-r. Después de haberlo escrito, puede confirmar en varias máquinas independientes a través de sumas de comprobación que tiene un CD en vivo que no ha sido manipulado. Ahora use este CD en vivo para arrancar en su hardware 'air gapped' y una vez que arranque, descifre un disco duro con sus claves secretas y podrá realizar sus operaciones.
La ventaja de usar un CD en vivo es que puede mantenerlo actualizado simplemente creando uno nuevo que tenga parches incluidos. Si tuviera que configurar un sistema separado sin conexión en red, sería difícil mantenerlo actualizado / seguro. Al iniciar solo el Live CD cuando sea necesario y, por lo tanto, dejar el disco duro fuera de línea y encriptado, también evita ser vulnerable a ataques de arranque en frío u otros ataques de host local contra un sistema en ejecución.
Entonces, algo para pensar, primero defina correctamente cuál es su modelo de amenaza; ¿contra quién o contra qué defiendes? Y luego abordar eso.
Otra solución podría ser algo así como un usbarmory , es una computadora completamente funcional sin dispositivos de entrada que no sea usb. Muy a prueba de manipulaciones y lo suficientemente pequeño como para que pueda llevar el dispositivo con usted en todo momento.
Ahora hablemos de entropía. Hay una variedad de cosas que podrías hacer aquí, obviamente, cuanto más entropía, mejor. Creo que el generador de números aleatorios de Freebsd, OpenBSD o Linux puede considerarse muy superior a los demás. Todos son bastante sólidos.
Material de lectura adicional: RNG de Linux , RNG de OpenBSD y RNG de FreeBSD
Todos ellos hacen un buen trabajo al mezclar diferentes fuentes de aleatoriedad. Si desea una aleatoriedad adicional porque no hay muchas fuentes de entropía, podría considerar obtener un RNG de hardware separado adicional, por ejemplo, OneRNG .
Todas las distribuciones / bsds vendrán con OpenSSL preinstalado, OpenBSD vendrá con LibreSSL. LibreSSL también se puede instalar fácilmente en Freebsd. Por lo tanto, todas las operaciones criptográficas comunes deben ser factibles fuera de la caja.