Para un usuario de computadora "normal", ¿hace una diferencia tener una buena fuente de entropía?

2

Tomemos, por ejemplo, Linux. Según tengo entendido, existen diferentes fuentes y formas diferentes que se pueden utilizar para recopilar entropía (demonio RNG, Intel rrandr, TPM, etc.). Algunos producen entropía que es de "mejor calidad" que otros. Pero, ¿realmente importa para un usuario "normal"?

(Supongamos que un usuario que solo utiliza navegadores web, programas de Office y un administrador de contraseñas).

¿En qué casos la computadora usa la entropía del grupo?

  • ¿Lo usa cuando navega por sitios web https?

  • ¿Lo usa cuando encripta un archivo con 7zip o con un administrador de contraseñas?

pregunta puzzle 10.08.2018 - 00:11
fuente

1 respuesta

3

Para la mayoría de los casos, la calidad de aleatoriedad está sobrevaluada.

Sí, es importante, puede llevar a algunas consecuencias desagradables si se hace mal, pero hay muchos errores más fáciles que la calidad aleatoria estaría al final de su lista de preocupaciones:

  • errores del sistema operativo
  • errores del navegador
  • Contraseña incorrecta de WiFi
  • Reutilización de contraseña
  • Contraseñas de enrutador predeterminadas o codificadas por hardware

La lista es larga. Si eres afectado por uno de esos, pierdes. Explotar el RNG para robar información no es práctico si el atacante puede explotar uno de esos problemas. Romper el RNG debería ser el último recurso.

Debe calcular el precio a proteger frente al valor de la información. El atacante hace lo mismo. Si no está utilizando el PRNG imperfecto para proteger algo muy valioso, está listo. No lo uses para generar un certificado bancario, una billetera de Bitcoin con muchas monedas, cosas así.

Proteger un archivo 7zip o navegar usando HTTPS no será mucho más seguro si usa un PRNG incorporado o CloudFlare Lava Lamp RNG .

    
respondido por el ThoriumBR 10.08.2018 - 04:16
fuente

Lea otras preguntas en las etiquetas