Cuando genero claves RSA usando OpenSSL, si quiero usar una fuente externa de aleatoriedad (por ejemplo, un HSM que puede proporcionar números aleatorios), es la mejor manera de obtener un nuevo número aleatorio (para cada generación), volcarlo un archivo, y luego usar ese archivo en la línea de comandos de OpenSSL con -rand ?
¿Es necesario inflar ese archivo con varios KB de números aleatorios?
OpenSSL usará /dev/random si está disponible. Y: esa es una excelente fuente de entropía, especialmente cuando se usa con una fuente de entropía de hardware. Te recomiendo que veas la excelente conferencia celebrada en 32c3 sobre los malentendidos y la realidad de / dev / random:
Entonces: use su generador de hardware para alimentar el grupo de entropía de su sistema operativo, y deje que OpenSSL se alimente de eso. La alimentación directa de OpenSSL desde su hardware podría funcionar, pero en realidad no es mejor, y lo que es más importante, elimina el paso intermedio de volcar la aleatoriedad a un archivo, lo que podría dejar huellas que luego podrían usarse para reconstruir la generación de claves.