<html><head/><body><html><head></head><body>Why not just generate high amounts of entropy on a constant basis?  Create the keys when the user account gets created? That's the approach we (Free Network Foundation) are taking with the AutoTunnel system.<br><br><div class="gmail_quote">Nick Daly <nick.m.daly@gmail.com> wrote:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<pre style="white-space: pre-wrap; word-wrap:break-word; font-family: sans-serif; margin-top: 0px">For the FBX to be able to enforce identity standards, we need to<br />guarantee that SSH and PGP keys are available on for each user (in the<br />users group) on boxen at all times.  This can be enforced by a simple<br />cron job that scans each user's home directory every hour or so and<br />creates the keys users need if they don't exist.  To do that, we'd need<br />to get the information we need to create the key from the user ahead of<br />time and pass it into the key creation tool.<br /><br />The good news is that, if we do this sort of key creation in the<br />background, over time, we don't get hung up on the fact that we don't<br />have enough entropy when the box boots: keys will be continuously<br />created as entropy becomes available.  This'll consume a lot of entropy,<br />so it's good that we only need to do it once per user.<br /><br />- Do we need other types of
keys?<br /><br />- How does "gpg --gen-key --batch" work?<br /><br />- Does the entire structure work at all?  What complications am I<br />missing?  The locking might be a bit tricky, but hardly impossible.<br /><br />Nick<br /></pre><p style="margin-top: 2.5em; margin-bottom: 1em; border-bottom: 1px solid #000"></p><pre style="white-space: pre-wrap; word-wrap:break-word; font-family: sans-serif; margin-top: 0px"><hr /><br />Freedombox-discuss mailing list<br />Freedombox-discuss@lists.alioth.debian.org<br /><a href="http://lists.alioth.debian.org/cgi-bin/mailman/listinfo/freedombox-discuss">http://lists.alioth.debian.org/cgi-bin/mailman/listinfo/freedombox-discuss</a></pre></blockquote></div><br>
-- <br>
Sent from my Android phone with K-9 Mail. Please excuse my brevity.</body></html></body></html>