Barrapunto

Yo también soy de la opinión de que lo cortés no quita lo valiente. Pero todo parece indicar que Linus Torvalds no está de acuerdo conmigo y que cree que las buenas maneras son superfluas. Sin embargo, en este caso concreto, creo que es bueno que haya usado ese tono.

El Linux, incluso cuando usa RDRAND, lo usa en conjunto con otras fuentes de entropía. Así, si una de las fuentes no cumple todas las expectativas, las otras pueden compensarla. De hecho, Theodore Ts'o, el mantenedor de /dev/random, dice que resistió las presiones de Intel para usar sólo RDRAND [google.com].

Esta es la explicación técnica. Lamentablemente, puede no bastar para la imágen de Linux.

El problema es que una persona, que no sabe como funciona /dev/random, lanza un petición sin enterarse primero de como va. La existencia de esta petición (petición, no pregunta) da a entender que está comprometida la seguridad de Linux. Una respuesta más comedida y educada podría pasar desapercibida, dejando un poso de que Linux está comprometido. Haciendo válido eso de "difama, que algo queda" (en este caso por ignorancia).

Dando una respuesta así de contundente ha salido en todo los medios, dejando bien clara la situación.

Si RDRAND no aporta entropía es como si en lugar de /dev/random usases /dev/urandom ya que el pool va a estar siempre lleno aunque no haya entropía.

Como han explicado, no se utiliza nunca sólo RDRAND.

Por lo que he entendido, /dev/random, coge los valores de RDRAND y hace un XOR con otras fuentes de entropía. Si RDRAND genera unos valores predecibles, con el XOR de otros valores impredecibles obtenidos de otras fuentes de entropía genera unos valores válidos. Las entropías se suman, En el peor de los casos, RDRAND tendrá entropía cero. No añadirá ningún beneficio, pero no perjudicará la entropía

El pool estará lleno a medida que las otras fuentes de entropía, además de RDRAND, permitan añadir valores.