
<div dir="ltr">It would be fun to make some amateur scatterplots.<br><br>I guess it buffers the output a bit somewhere since it has to "go back to the source" after too much is read. If that's the case, I wonder if you can go in and read ahead in the buffer while leaving it unconsumed? If this is an attack vector then maybe wasting some randomness is a good thing. I'm just thinking out loud. But the plots would be fun and something I can comprehend.<br><br>Also fun would be to direct RF at it and then repeat the plots.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 3, 2014 at 12:58 AM, Brian Callahan <span dir="ltr"><<a href="mailto:bcallah@devio.us" target="_blank">bcallah@devio.us</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><br>

On 11/02/14 23:37, Isaac (.ike) Levy wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

On Sun, 02 Nov 2014 23:12:00 -0500<br>

Brian Callahan <<a href="mailto:bcallah@devio.us" target="_blank">bcallah@devio.us</a>> wrote:<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

On 11/02/14 21:13, Isaac (.ike) Levy wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

On Sun, 2 Nov 2014 20:34:34 -0500<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

TrueRNG – Hardware Random Number Generator USB<br>

<a href="http://ubld.it/products/truerng-hardware-random-number-generator/" target="_blank">http://ubld.it/products/<u></u>truerng-hardware-random-<u></u>number-generator/</a><br>

<br>

I'm excited to see this, what do people think?  $47 feels a bit<br>

high though...<br>

<br>

Rocket-<br>

.ike<br>

</blockquote>

And, as I continued looking for info online, came across another:<br>

<br>

"OneRNG" - totally open spec,<br>

<a href="http://moonbaseotago.com/onerng/" target="_blank">http://moonbaseotago.com/<u></u>onerng/</a><br>

<br>

</blockquote>

Hmm... a couple things come to mind:<br>

First, TrueRNG seems to be a black box. So that's pretty much a<br>

non-starter.<br>

</blockquote>

Hrm.  I think I agree with you there- since the point is to do better<br>

with this problem than software, (a lot better), it could be argued to<br>

be a particularly un-kosher place for blackbox hardware.<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Looks like OneRNG is only for Linux (atm); it requires udev to talk<br>

to the kernel... someone would need to write the necessary software.<br>

</blockquote>

Interesting...<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

But I'm not sure the problem these devices are trying to solve are<br>

problems for the BSDs, at least OpenBSD.<br>

</blockquote>

;) I can see where that line of reasoning goes.<br>

<br>

Yet, I'd say we can *always* use better HW entropy sources,<br>

(particularly ones which are cheap and replacable if they are<br>

compromised- like these USB sticks).<br>

<br>

Where can my headless, microphone-less head-less servers get their<br>

entropy?  What if I even disabled entropy seeding/harvesting in the NIC<br>

because it doesn't really do any good with my app/use?<br>

<br>

If you know a good way out of these issues without hardware interfaces<br>

to the "real and random" world, I'm all ears!<br>

<br>

</blockquote>

<br></div></div>

Yes ok, but I know you're also not the type of person who will plug it in and believe that you're all good. And I think that really matters. If you really had a machine that had no way to gather entropy (I'm slightly sceptical that such a machine really exists, but let's say it does) then sure, one of these things would be a cheap, throw away if compromised, way to accomplish what you need. But again, I don't think you'd be the type to just plug it in and assume all is well.<br>

<br>

I always imagine these things being used on $random_laptop by $random_user and marketed for that purpose. And in that case there is concern over the "plug it in and I'm good" mentality. People not knowing how to recognize a compromised stick (or worse, not knowing that they can be compromised).<br>

<br>

I still think for your everyday laptop not having one of these keys is the way to go (perhaps though one should use an OS that does the random thing well ;-) ).<br>

<br>

Anyhow, these things aren't a solution to anything without proper software.<div class="HOEnZb"><div class="h5"><br>

______________________________<u></u>_________________<br>

talk mailing list<br>

<a href="mailto:talk@lists.nycbug.org" target="_blank">talk@lists.nycbug.org</a><br>

<a href="http://lists.nycbug.org/mailman/listinfo/talk" target="_blank">http://lists.nycbug.org/<u></u>mailman/listinfo/talk</a></div></div></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature">-jesse</div>

</div>