Ez így igaz és ez a kód bizony kemény dió, mert nem egy "sima" implementáció, inkább improvizáció! :)
Mondjuk az rng-be se triviális backdoorozni, mert az rng generátorba -gondolom- nem commitolhat minden "jöttment", meg kell indokolni a változtatást, az alrendszer karbantartója többnyire azért leauditálja, stb. Új kóddal sokkal könyebb lenyeletni a békát, ott nem kell indokolni és nehezebb auditálni is (több kód). Nekem továbbra is az lenne gyanús, ami nem gyanús, a "mezei" kód.
Amúgy ez az? :)