<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">I am using the EVP API (version 1.1.1) for performing public key and symmetric key operations across a variety of platforms (macOS, Windows, Linux, iOS and Android). I am currently not doing anything to explicitly seed OpenSSL’s random number generator. My understanding is that the <a href="https://www.openssl.org/blog/blog/2017/08/12/random/" class="">default behavior</a> should be cryptographically secure.<div class=""><br class=""></div><div class="">So my concerns are:</div><div class="">1. Whether I really can count on getting a high-entropy PRNG across these various platforms, without any explicit initialization.</div><div class="">2. If something goes wrong with PRNG initialization, that it will fail hard rather than fall back to something less secure. And if so how I detect such a failure.</div><div class=""><br class=""></div><div class="">Our current implementation uses libsodium, which relies on the usual system calls to generate entropy, so if I can count on OpenSSL always doing this then I’m happy. </div><div class=""><br class=""></div><div class="">Thanks,</div><div class="">Mike</div></body></html>