[l]Linux kriegt jetzt auch einen Syscall, um sich Zufall beim Kernel abzuholen. Bisher macht man das über /dev/urandom. Das ist im Normalfall OK, aber auch fehleranfällig. Gerne wird z.B. in chroot-Umgebungen vergessen, ein /dev/urandom anzulegen. Und lokale Angreifer können möglicherweise dafür sorgen, dass kurzzeitig keine Deskriptoren mehr verfügbar sind, und dann der open fehlschlägt und ein schlechterer Fallback-Pfad genommen wird, bei dem dann unsichere Kryptoschlüssel rauskommen. Insofern finde ich das eine gute Sache. OpenBSD hat an der Stelle Recht. Die haben so einen Syscall schon länger, und auf deren Initiative ist auch dieser Patch zustande gekommen.