主要观点：传统观点认为哈希更多熵源无害，但实际上恶意熵源可通过窥探其他熵源来控制哈希输出，如在DSA和ECDSA签名中，恶意熵源可控制部分随机数从而获取用户秘密密钥，而EdDSA则不同，它使用随机数生成密钥后签名完全确定性。

关键信息：

• 恶意熵源可通过多种方式利用窥探到的信息控制哈希输出，如强制哈希值开头为特定比特等。
• DSA和ECDSA签名易受恶意熵源影响，而EdDSA相对安全。
• 可通过减少读取可能恶意的熵源、增加哈希处理等方式降低恶意熵源的控制。
• 强调安全系统应在加密前收集足够熵，加密后使用纯确定性加密，避免添加新熵。
• 质疑Linux /dev/urandom手册页关于无新熵用户易受攻击的观点，认为已有的安全系统可保证长期密钥机密性，添加新熵无必要。

重要细节：

• 举例恶意熵源生成随机数并控制哈希输出的过程，如通过多次尝试让H(x,y,r)开头为特定比特。
• 说明恶意熵源可利用随机数生成作为通信渠道泄露用户长期密钥。
• 提及EdDSA使用随机数生成密钥后确定性签名，恶意熵源只能控制部分随机位。
• 提到相关工作如2006年的论文分析恶意熵源能做的事，以及本博客文章与该论文的区别。