Podíval bych se do zdrojáku openssl (nebo nějakého čitelnějšího forku). Generuje se to pomocí
openssl dhparam -out dhparams-4096.pem 4096
Jestli tomu dobře rozumím, tak to není problém s entropií (/dev/random je vcelku uspokojivé), ale že možná openssl při generování toho dhparams-4096.pem používá nedostatečný počet předgenerovaných prvočísel? Najít ve zdrojáku jak to je by bylo uklidňující...
Jak jsi přišel na to, že je tam vůbec _nějaký_ problém? Celá ta aféra kolem weak DH je kolem toho, že spousta lidí používá kilové DH (pro nějž lze předpočítat tabulku umožňující efektivní crackování, ale to předpočítání je velmi drahé), a navíc skoro všichni používají stejná, takže to stačí spočítat jednou a pak už se láme zadarmo.
Kdyby se buď používala dvou či čtyřkilová, tak by tabulku předpočítat nešlo, a kdyby se používala kilová, ale u každého jiná, tak by NSA nejspíš neutrácela tolik peněz za každého Frantu Vonáska.
Problém je v tom, že a) DH někdo kdysi nahardcodoval a kilo mu přišlo dost, b) generování vlastního 4kb DH trvá na horších počítačích klidně hodinu.
Já jsem si jich jednou přes noc spoustu napočítal a teď když potřebuju někam nové, tak prostě hrábnu a vytáhnu a nemusím čekat na počítání.