La risposta X86 è assicurarsi che la VM non intrappoli RdRand o RdSeed. Ti fidi della tua VM per molte cose, questa è una di queste.
Un RNGd sufficientemente recente su una CPU post Snady Bridge utilizzerà (o si potrà dire che) utilizzerà RdRand o RdSeed e un RdRand o RdSeed non intrappolato entrerà entropia nella VM. / dev / random funziona quindi con una vera e propria fonte di entropia (non virtuale).
Questo non è un caso. È proprio lì nei documenti di architettura Intel.
Per un'origine entropia hardware basata su dispositivo (IE utilizza un driver del kernel per condividerlo) è necessario che la VM virtualizzi correttamente l'origine fisica. Non ho idea se lo fanno e, in tal caso, per quali dispositivi.
Se il tuo RNGd non ha l'opzione drng di seguito, aggiornalo. Se il tuo hardware non ha un RNG hardware veloce, sei condannato e dovresti considerare di utilizzare hardware diverso per motivi di sicurezza.
# rngd --help
Usage: rngd [OPTION...]
Check and feed random data from hardware device to kernel entropy pool.
-b, --background Become a daemon (default)
**-d, --no-drng=1|0 Do not use drng as a source of random number input**
(default: 0)
-f, --foreground Do not fork and become a daemon
-n, --no-tpm=1|0 Do not use tpm as a source of random number input
(default: 0)
-o, --random-device=file Kernel device used for random number output
(default: /dev/random)
-p, --pid-file=file File used for recording daemon PID, and multiple
exclusion (default: /var/run/rngd.pid)
-q, --quiet Suppress error messages
-r, --rng-device=file Kernel device used for random number input
(default: /dev/hwrng)
-s, --random-step=nnn Number of bytes written to random-device at a time
(default: 64)
-v, --verbose Report available entropy sources
-W, --fill-watermark=n Do not stop feeding entropy to random-device until
at least n bits of entropy are available in the
pool (default: 2048), 0 <= n <= 4096
-?, --help Give this help list
--usage Give a short usage message
-V, --version Print program version
Mandatory or optional arguments to long options are also mandatory or optional
for any corresponding short options.
Report bugs to Jeff Garzik <jgarzik@pobox.com>.