<div dir="ltr">It would be fun to make some amateur scatterplots.<br><br>I guess it buffers the output a bit somewhere since it has to "go back to the source" after too much is read. If that's the case, I wonder if you can go in and read ahead in the buffer while leaving it unconsumed? If this is an attack vector then maybe wasting some randomness is a good thing. I'm just thinking out loud. But the plots would be fun and something I can comprehend.<br><br>Also fun would be to direct RF at it and then repeat the plots.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 3, 2014 at 12:58 AM, Brian Callahan <span dir="ltr"><<a href="mailto:bcallah@devio.us" target="_blank">bcallah@devio.us</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><br>
On 11/02/14 23:37, Isaac (.ike) Levy wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Sun, 02 Nov 2014 23:12:00 -0500<br>
Brian Callahan <<a href="mailto:bcallah@devio.us" target="_blank">bcallah@devio.us</a>> wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 11/02/14 21:13, Isaac (.ike) Levy wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Sun, 2 Nov 2014 20:34:34 -0500<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
TrueRNG – Hardware Random Number Generator USB<br>
<a href="http://ubld.it/products/truerng-hardware-random-number-generator/" target="_blank">http://ubld.it/products/<u></u>truerng-hardware-random-<u></u>number-generator/</a><br>
<br>
I'm excited to see this, what do people think?  $47 feels a bit<br>
high though...<br>
<br>
Rocket-<br>
.ike<br>
</blockquote>
And, as I continued looking for info online, came across another:<br>
<br>
"OneRNG" - totally open spec,<br>
<a href="http://moonbaseotago.com/onerng/" target="_blank">http://moonbaseotago.com/<u></u>onerng/</a><br>
<br>
</blockquote>
Hmm... a couple things come to mind:<br>
First, TrueRNG seems to be a black box. So that's pretty much a<br>
non-starter.<br>
</blockquote>
Hrm.  I think I agree with you there- since the point is to do better<br>
with this problem than software, (a lot better), it could be argued to<br>
be a particularly un-kosher place for blackbox hardware.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Looks like OneRNG is only for Linux (atm); it requires udev to talk<br>
to the kernel... someone would need to write the necessary software.<br>
</blockquote>
Interesting...<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
But I'm not sure the problem these devices are trying to solve are<br>
problems for the BSDs, at least OpenBSD.<br>
</blockquote>
;) I can see where that line of reasoning goes.<br>
<br>
Yet, I'd say we can *always* use better HW entropy sources,<br>
(particularly ones which are cheap and replacable if they are<br>
compromised- like these USB sticks).<br>
<br>
Where can my headless, microphone-less head-less servers get their<br>
entropy?  What if I even disabled entropy seeding/harvesting in the NIC<br>
because it doesn't really do any good with my app/use?<br>
<br>
If you know a good way out of these issues without hardware interfaces<br>
to the "real and random" world, I'm all ears!<br>
<br>
</blockquote>
<br></div></div>
Yes ok, but I know you're also not the type of person who will plug it in and believe that you're all good. And I think that really matters. If you really had a machine that had no way to gather entropy (I'm slightly sceptical that such a machine really exists, but let's say it does) then sure, one of these things would be a cheap, throw away if compromised, way to accomplish what you need. But again, I don't think you'd be the type to just plug it in and assume all is well.<br>
<br>
I always imagine these things being used on $random_laptop by $random_user and marketed for that purpose. And in that case there is concern over the "plug it in and I'm good" mentality. People not knowing how to recognize a compromised stick (or worse, not knowing that they can be compromised).<br>
<br>
I still think for your everyday laptop not having one of these keys is the way to go (perhaps though one should use an OS that does the random thing well ;-) ).<br>
<br>
Anyhow, these things aren't a solution to anything without proper software.<div class="HOEnZb"><div class="h5"><br>
______________________________<u></u>_________________<br>
talk mailing list<br>
<a href="mailto:talk@lists.nycbug.org" target="_blank">talk@lists.nycbug.org</a><br>
<a href="http://lists.nycbug.org/mailman/listinfo/talk" target="_blank">http://lists.nycbug.org/<u></u>mailman/listinfo/talk</a></div></div></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature">-jesse</div>
</div>