Wie erkennt man, wenn ein Entropie-Schlüssel überladen ist?

10

Ich habe mehrere Entropy Keys mit egd vor mir und dann alle Last durch Haproxy ausgeglichen. Ich habe dann viele Client-Computer, die die Haproxy-Service-IP als Netzwerk-Entropiequelle verwenden. Ich habe keine Ahnung, wie viel Entropie sie verlangen.

Die Entropietasten können eine begrenzte Menge an verwendbarer Entropie erzeugen. Die technischen Daten sagen mindestens 30 Kilobit / Sek. Mindestens aus. Soweit ich sehen kann, kann der Entropie-Schlüssel nicht abfragen, wie viel er verlangt wird. Das EGD-Protokoll scheint ziemlich schwer zu finden, um diese Informationen zu finden. Clients können eine variable Menge an Entropie anfordern und erhalten möglicherweise nicht dieselbe Menge zurück.

Hat jemand einen einfachen Weg gefunden, um zu messen, wie viel von einem Entropie-Schlüssel angefordert wird?

Es wäre gut zu wissen, um planen zu können, wann zusätzliche Schlüssel benötigt werden, und um drunter und drüber liegende Kunden zu erkennen.

grifferz
quelle
Was ist der Entropieschlüssel? Ist es ein Hardware-RNG?
Hubert Kario
@ HubertKario Ja . Es wird von Simtec Electronics in Großbritannien hergestellt.
James O'Gorman

Antworten:

4

Die einzigen zwei Dinge, die Ihnen in den Sinn kommen, sind der Versuch, die Antwortzeit Ihres Entropieservers zu messen (es sollte eine signifikante Erhöhung der Latenz geben, wenn er nicht mithalten kann) oder die Zusammenfassung /proc/sys/kernel/random/entropy_availund Überwachung Ihrer Entropie (ich nehme an) das egdverwendet /dev/randomund nicht die Hardware direkt).

Hubert Kario
quelle
ekeyd-egd-linux greift direkt auf die Hardware zu (und AFAIK kann nur so funktionieren). Leider habe ich keinen Zugang zu vielen Kunden, daher kann ich nicht sagen, wie viele von ihnen nicht die von ihnen angeforderte Entropie erhalten. Ich denke, ich sollte in der Lage sein, eine Entropie direkt vom einzelnen Schlüssel anzufordern und zu überprüfen, wie lange es dauert, sie zu liefern, wie Sie vorschlagen. Das sollte mir einen Hinweis geben, ob es zumindest überlastet ist.
Grifferz
2

Es sieht so aus, als hätte der Quell-Tarball für ekeydein Munin-Plugin zur Bereitstellung von Ekey-Statistiken.

Selbst wenn Sie nicht munin ausführen, ist es wahrscheinlich möglich, das Skript in etwas zu extrapolieren, das für Ihre Infrastruktur verwendbar ist.

Ich denke, wir kennen beide die Autoren des Geräts und der Software, daher könnte es sich lohnen, sie anzutreiben. :-)

James O'Gorman
quelle
AFAIK dies enthüllt nur, was Sie bekommen können, von ekeydctl statsdem simtec bereits bestätigt hat, wird mir nicht sagen, was ich wissen muss - ich habe sie bereits gefragt. :( Ich habe mich nur gefragt, was andere getan haben.
Grifferz
0

Versuchen:

dd if=/dev/random of=/dev/null bs=1K count=1M

Wenn der Vorgang abgeschlossen ist, ddwird die Lesebandbreite gemeldet, sodass Sie wissen, wie viel Entropie bereitgestellt wird. Sie können es auf dem Server (getrennt von seinen Clients) ausführen, um die Entropieproduktion zu messen, und auf den Clients, um zu messen, wie viel sie empfangen.

Wenn Sie den laufenden ddProzess mit einem SIGUSR1Signal beenden, wird er angewiesen, seine E / A-Statistiken zu melden, sodass Sie nicht warten müssen, bis er abgeschlossen ist (siehe man dd).

Außerdem sollten Clients aufgrund der vom Server gelesenen Entropie (z . B. nethogsPlus netstat) einen Anstieg ihres Download-Bandbreitenverbrauchs feststellen .

Luchostein
quelle