Да, это работает. это не удивительно, и это не хорошо для безопасности.

Ты thinking- Но Грег, я дал ему, как 10 миллионов бит энтропии, оно должно быть безопасным!

Неправильно. Энтропия ключа является

(Предполагается, что вы выбрали равномерно).

Так сказать, есть шанс 1/10000 кто-то будет использовать весь проект Гутенберг книгу в качестве затравки. Есть 40000 Проект Гутенберг книги.

-log2 (1/10000) + -log2 (1/40000) = 28.575 бит энтропии. Crackable в моменты, так как генерируя _great_ много ключей в секунду не трудно для кого-то, кто он ограничивается оскорбительно замедлять JavaScript реализации SHA256.

Ваш злоумышленник не миллион обезьян не разбив пишущие машинки для эр, пока случайно один производит работу Шекспира; атакующие кто-то с сильной моделью человеческого поведения и большим количеством вычислительной мощности. Вы играете против decenteralized консорциума гениев каждого командует трлн сильной армии безупречных роботов на пишущих машинках.

Против атаки с хорошими моделями сила ключа только случайность, как вы выбрали, и может иметь мало общего с размером самих данных. Даже если вы постулировать модификации книги, злоумышленник может моделировать их тоже. Изменение все электронные до 3-х? К сожалению Снежинка, ничего не оригинальна больше. И если у вас есть сильно случайный способ выбора библиотеки, книги, и modifications- вы точно так же от использования этого хаотичность непосредственно.  "Книга Foo из библиотеки бара, модифицированные константы выглядит" имеет такую ​​же случайность, как фактические данные. (± вероятности того, что вы бы это выразить, что определенный образом вместо того, чтобы на самом деле это делать)

Люди ужасно быть случайным. Даже если вы думаете, что быть умными и дополнительным случайными вы часто не так, на самом деле лукавят часто делает вас менее произвольными, вы будете думать только о нескольких возможных идеях из пространства всех идей, так что вы не можете выбрать равномерно между ними.

Человеческие сгенерированные закрытые ключи не должны просто никогда не будут использоваться для приложений, где ключевидный материал, как правило, доступен для атаки. Практически никто не в состоянии сделать это безопасно, и многие люди думают, что они могут, но они на самом деле не может. Must общих советов о паролях / ключи неприменимы для случая, когда злоумышленники во всем мире могут мгновенно начать испытывать на огромных скоростях или применять Предвычисление атаки без необходимости идти на компромисс что-то первое.