Wenn man jemandem ins Pflichtenheft geschrieben hat, daß seine Software unter der Last von 10.000 PGP-Keys nicht schwächeln darf, muß man irgendwann auch mal ins kalte Wasser springen und tatsächlich 10.000 Keys generieren:
#!/bin/sh -e
export LANG=C
for I in `seq 1 10000`
do
NUMBER=`printf "%5.5d\n" $I`
USERNAME="Testuser #$NUMBER"
COMMENT="auto-generated key"
EMAIL="testuser-$NUMBER@pgp-loadtest.example.com"
(
cat <<EOF
%echo Generating Key for $EMAIL
Key-Type: DSA
Key-Length: 1024
Subkey-Type: ELG-E
Subkey-Length: 1024
Name-Real: $USERNAME
Name-Comment: $COMMENT
Name-Email: $EMAIL
Expire-Date: 2009-01-01
Passphrase: foo
%commit
EOF
) | gpg --gen-key --batch --no-default-keyring \
--secret-keyring /var/tmp/gpg-test.sec \
--keyring /var/tmp/gpg-test.pub
done
Die schlechte Nachricht: Spätestens nach dem dritten Key wird GnuPG eine Pause einlegen, weil der Entropie-Pool ausgelutscht ist. Ich habe meine Lösung für dieses Problem gefunden, indem ich (und das ist wirklich sehr, sehr böse, bitte auf keinen Fall zuhause nachmachen) /dev/urandom zu /dev/random umgelötet habe. Kreative alternative Lösungsvorschläge für das schmutzige kleine Entropie-Problem werden auf jeden Fall gern entgegengenommen.
Ich hatte mal ein ähnliches Problem, wenn ich mich recht erinnere ein vServer-Host, dessen Entropie chronisch ausgelaugt war, da zu viele Gäste zu viel mit HTTPS und/oder SSH kommunizierten. Oder so, ist etwas her.
Abhilfe schuf in dem Fall der RNGD (http://packages.debian.org/rng-tools), der den Entropie-Pool auffrischt. Da das System keinen Hardware-TRNG hatte, bastelte ich mir zusätzlichen einen kleinen Daemon, der Daten vom PRNGD (http://prngd.sourceforge.net/) in den RNGD schaufelte (die EGD-Schnittstelle ist etwas eigenwillig und lässt sich nicht einfach als Input für den RNGD verwenden). Das verursachte zwar etwas Prozessorlast, half aber gegen die stockenden SSL-/SSH-Verbindungen.
Wenn die Maschine ein sound-device hat, dann ist der audio-entropyd ganz gut: http://www.mindrot.org/audio-entropyd.html