Van egy Jenkins rendszerünk, amely épít és PGP-aláírja a szoftverkiadásokat, és fontolóra vesszük az aláíró összetevő egy elszigetelt virtuális gépre való áthelyezését ahelyett, hogy a teljes építői infrastruktúra részeként futtatnánk - a magánkulcsok jobb elkülönítése érdekében az összes többi viszonylag nyilvános mozgó részből.
Néhány fejlesztő a virtuális gép használata ellen érvel, mivel a virtuális gépek általában kevés jó entrópia forrással rendelkeznek, ezért általában nem alkalmasak a titkosításra. Ellenérvet szeretnék mondani arról, hogy mivel máshol generált PGP kulcsokat fogunk használni, az egyetlen virtuális gépen végrehajtott titkosítási műveletek egyáltalán nem támaszkodnak az RNG-re. Megértettem a PGP aláírási folyamatot, hogy kiszámítja a sha1 / sha2 kivonatot (nem használ RNG-t), majd kiszámítja az aláírást a magánkulcs segítségével (nem használ RNG-t).
Ez helyes? Vagy hiányzik valami, ami az erős RNG-t tenné szükségessé egy olyan rendszer számára, amely csak PGP-t ír alá, de soha nem titkosít PGP-t?