Linux: d'Sperr vum Pool /dev/random ewechhuelen

/dev/random, e kryptographesch séchere pseudo-zoufälleg Zuelengenerator (CSPRNG), ass bekannt fir en lästeg Problem ze hunn: Blockéieren. Dësen Artikel erkläert wéi Dir et léise kënnt.

An de leschte Méint sinn déi zoufälleg Zuel Generatioun Ariichtungen am Kernel liicht ëmgeschafft ginn, awer Probleemer an dësem Subsystem goufen am Laf vun der méi breeder geléist. Zäitrahmen. Dat meescht lescht Ännerungen goufen gemaach fir ze verhënneren datt de getrandom () System Uruff fir eng laang Zäit blockéiert wann de System booten, awer den ënnerierdesche Grond dofir war d'Blockéierungsverhalen vum zoufällege Pool. E rezente Patch hätt dëse Pool geläscht an et wier erwaart ginn an den Haaptkär ze goen.

Andy Lutomirski publizéiert déi drëtt Versioun vum Patch Enn Dezember. Hien bäidréit "zwee grouss semantesch Ännerungen an zoufällegen APIen" Linux». De Patch füügt en neie GRND_INSECURE Fändel un de getrandom () System Opruff (obwuel de Lutomirsky et als Getentropie bezeechent (), déi am glibc mat getrandom () mat fixe Fändelen ëmgesat gëtt; dëse Fändel bewierkt datt den Uruff ëmmer d'Quantitéit vun den ugefrote Daten zréckkënnt, awer ouni ze garantéieren datt d'Donnéeën zoufälleg sinn. De Kernel wäert einfach säi Bescht maachen fir déi bescht zoufälleg Donnéeën ze produzéieren déi et zu der bestëmmter Zäit huet. "Wahrscheinlech déi bescht Saach ze maachen ass et 'ONSECURE' ze nennen (onsécher) fir ze verhënneren datt dës API benotzt gëtt fir Saachen déi Sécherheet brauchen."

D'Flecken entfernen och de Blockéierungspool. De Kernel hält momentan zwee zoufälleg Datepools, een entsprécht /dev/random an deen aneren zu /dev/urandom, wéi an dësem beschriwwen. Artikel 2015. De Spärpool ass de Pool fir /dev/random; liest fir datt den Apparat blockéiert (dat heescht säin Numm) bis "genuch" Entropie vum System gesammelt gouf fir d'Ufro ze erfëllen. Weider Liesungen aus dëser Datei ginn och blockéiert wann et net genuch Entropie am Pool ass.

Ewechzehuelen der Spär Pool heescht dass liesen aus /dev/zoufälleg behuelen wéi getrandom () mat Fändelen op null gesat (a verwandelt GRND_RANDOM Fändel zu engem noop). Wann de cryptographic zoufälleg Zuel Generator (CRNG) initialiséiert ass, liesen aus /dev/zoufälleg an rifft ze getrandom (...,0) wäert net blockéieren a gëtt déi ugefrote Quantitéit vun zoufälleg Donnéeën zréck.

Lutomirsky seet: "Ech mengen, de Blocking Pool Linux huet säin Notzen iwwerschratt. Linux generéiert eng Ausgab, déi gutt genuch ass, fir iwwerhaapt fir d'Generatioun vu Schlësselen benotzt ze ginn. E Blocking-Pool ass net materiell méi staark, an d'Ënnerhaltung dovun erfuerdert vill Infrastruktur vu zweifelhaftem Wäert."

D'Ännerunge goufen mam Zil gemaach fir sécherzestellen datt existent Programmer net wierklech beaflosst ginn, an tatsächlech wäerten et manner Probleemer mat laange Waarde fir Saachen wéi GnuPG Schlësselgeneratioun ginn.

"Dës Episoden däerfen keng existéierend Programmer stéieren. /dev/urandom bleift onverännert. /dev/random blockéiert nach ëmmer direkt beim Boot, awer et blockéiert manner wéi virdrun. getentropy() mat de existente Fändelen wäert e Resultat zréckginn dat grad sou gëeegent ass fir praktesch Zwecker wéi virdrun."

De Lutomirsky huet bemierkt datt et nach ëmmer eng oppe Fro ass ob de Kernel sougenannte "richteg zoufälleg Zuelen" soll ubidden, wat ass wat de Blockéiere Kernel zu engem gewësse Mooss soll maachen. Hie gesäit nëmmen ee Grond dofir: "Konformitéit mat Regierungsnormen." De Lutomirsky huet virgeschloen datt wann de Kernel dëst géif ubidden, et sollt duerch eng ganz aner Interface gemaach ginn, oder et sollt an de Benotzerraum geplënnert ginn, wat de Benotzer erlaabt raw Event Echantillon ze recuperéieren déi benotzt kënne fir sou e Sperrpool ze kreéieren.

De Stephan Müller huet virgeschloen, datt säi Set Flecken fir e Zoufallszuelgenerator Linux (LRNG) (aktuell an der Versioun 26) kann e Wee sinn, fir richteg Zoufallszuelen fir Uwendungen ze liwweren, déi se brauchen. LRNG "entsprécht vollstänneg den Ufuerderunge vun der Recommandatioun fir Entropiequellen, déi fir d'Generatioun vun zoufällegem Bit benotzt ginn SP800-90B", wat et zu enger Léisung fir de Problem vun de Regierungsstandarden mécht.
De Matthew Garrett huet sech géint de Begrëff "richteg zoufälleg Daten" bemierkt, a bemierkt datt d'Apparater, déi gepréift goufen, am Prinzip präzis genuch modelléiere kënnen fir se prévisibel ze maachen: "mir probéieren hei keng Quantenevenementer."

De Müller huet geäntwert datt de Begrëff aus dem däitsche Standard AIS 31 kënnt fir en zoufälleg Zuelengenerator ze beschreiwen, deen nëmmen e Resultat produzéiert "am selwechten Taux wéi déi ënnerierdesch Geräischerquell Entropie produzéiert."

Terminologie Differenzen ofgesinn, e Sperrpool ze hunn wéi vun den LRNG Patches proposéiert gëtt einfach zu verschiddene Probleemer féieren, op d'mannst wann et ouni Privilegien zougänglech ass.

Wéi de Lutomirsky gesot huet: "Dëst léist de Problem net. Wann zwee verschidde Benotzer domm Programmer wéi gnupg lafen, wäerten se just all aner drain. Ech gesinn datt et am Moment zwee Haaptprobleemer mat /dev/random sinn: et ass ufälleg fir DoS (dh Ressourceaustausch, béiswëlleg Afloss oder eppes ähnlechen), a well keng Privilegien erfuerderlech sinn fir se ze benotzen, ass et och ufälleg fir Mëssbrauch. Gnupg ass falsch, et ass e komplette Zesummebroch. Wa mir en neien onprivilegéierten Interface addéieren deen gnupg an ähnlech Programmer benotze wäerte mir erëm verléieren."

De Mueller bemierkt datt d'Zousatz vun getrandom () elo GnuPG erlaabt dës Interface ze benotzen, well et déi néideg Garantie gëtt datt de Pool initialiséiert gouf. Baséierend op Diskussioune mam GnuPG Entwéckler Werner Koch, mengt Mueller datt d'Garantie deen eenzege Grond ass datt GnuPG de Moment direkt vun /dev/random liest. Awer wann et en onprivilegéierten Interface gëtt, deen empfindlech ass fir Verweigerung vum Service (wéi /dev/random haut ass), argumentéiert Lutomirsky datt et vun e puer Uwendungen mëssbraucht gëtt.

Theodore Ts'o (Theodore Yue Tak Ts'o), Entwéckler vum Zoufallszuelen-Ënnersystem Linux, huet anscheinend seng Meenung iwwer d'Noutwennegkeet vun engem Blocking Pool geännert. Hie sot, datt d'Ewechhuele vun deem effektiv d'Iddi eliminéiere géif, datt Linux huet e richtege Zoufallszuelengenerator (TRNG): "dëst ass keen Nonsens, well dat ass genau wat *BSD ëmmer gemaach huet."

Hie mécht sech och Suergen, datt en TRNG-Mechanismus just als Verlockung fir App-Entwéckler dénge wäert, a gleeft, datt a Wierklechkeet, wéinst den ënnerschiddlechen Aarte vun Hardware, déi ënnerstëtzt ginn Linux, ass et onméiglech TRNG am Kernel ze garantéieren. Och nëmmen Root-Rechter fir d'Hardware ze bedreiwen léisen, léist de Problem net: "Applikatioun Entwéckler spezifizéieren datt hir Applikatioun als Root fir Sécherheetszwecker installéiert ass, sou datt dëst deen eenzege Wee ass wéi Dir Zougang zu den" wierklech gutt "zoufälleg Zuelen kënnt."

De Mueller huet gefrot ob de Cao d'Blockéierungspoolimplementatioun opginn huet, déi hie selwer laang proposéiert huet. De Cao huet geäntwert datt hie plangt dem Lutomirsky seng Patches ze huelen an aktiv géint eng Spär-Interface zréck an de Kernel ze addéieren.

"De Kernel kann keng Garantien maachen ob d'Geräischquelle richteg charakteriséiert gouf. Dat eenzegt wat e GPG oder OpenSSL Entwéckler kann kréien ass e vague Gefill datt TRUERANDOM "besser" ass, a well se méi Sécherheet wëllen, probéieren se ouni Zweifel et ze benotzen. Irgendwann gëtt et blockéiert, a wann en anere Smart Benotzer (vläicht e Verdeelungsspezialist) et an d'Init-Skript setzt an d'Systemer ophalen ze schaffen, mussen d'Benotzer nëmme beim Linus Torvalds selwer beschwéieren.

Cao plädéiert och fir Kryptografen ze ginn an déi, déi TRNG tatsächlech brauchen, e Wee fir hir eege Entropie am Benotzerraum ze sammelen fir ze benotzen wéi se passend gesinn. Hie seet datt d'Entropie sammelen net e Prozess ass, dee vum Kernel op all déi verschidde Hardware déi se ënnerstëtzt ka gemaach ginn, an och de Kernel selwer kann d'Quantitéit vun der Entropie, déi vu verschiddene Quelle geliwwert gëtt, schätzen.

"De Kernel sollt net verschidde Geräischerquellen zesummen vermëschen, an et sollt sécher net probéieren ze behaapten ze wëssen wéivill Bits vun Entropie et kritt wann et probéiert eng Aart vun "twitchy Entropie-Spill" op enger onheemlech einfacher CPU ze spillen Architektur fir Konsument Benotzer IOT / Embedded Fäll wou alles net synchroniséiert ass mat engem eenzege Master Oszillator, wou et keng CPU Instruktioune gëtt fir e Register nei ze bestellen oder ëmbenennen, etc.

"Dir kënnt iwwer Tools ubidden, déi probéieren dës Berechnungen ze maachen, awer sou Saachen mussen op all Benotzer seng Hardware gemaach ginn, wat fir déi meescht Verdeelungsbenotzer einfach net praktesch ass. Wann dëst nëmme fir Kryptografen geduecht ass, da loosst et an hirem Benotzerraum gemaach ginn. A loosst eis GPG, OpenSSL, asw net vereinfachen, sou datt jidderee seet "mir wëllen "richteg Zoufall" an net mat manner nidderloossen. Mir kënne schwätzen iwwer wéi mir Interfaces u Kryptografen ubidden, fir datt se d'Informatioun kréien, déi se brauchen, andeems se Zougang zu de primäre Geräischerquellen kréien, getrennt an benannt, a vläicht iergendwéi kann d'Geräischquelle sech op eng Bibliothéik oder Benotzerraumapplikatioun authentifizéieren.

Et gouf e puer Diskussioun iwwer wéi sou en Interface kéint ausgesinn, well et zum Beispill Sécherheetsimplikatioune fir e puer Eventer kéint sinn. Cao bemierkt datt Keyboard Scan Coden (dh Tastekombinatiounen) an e Pool gemëscht ginn als Deel vun der Entropiesammlung: "Dëst an de Benotzerraum ze bréngen, och duerch e privilegiéierte Systemruff, wier net schlau fir d'mannst ze soen." Et ass ganz méiglech datt aner Event Timings eng Aart Informatiounsleckage duerch Säitekanäl kreéieren.

Sou schéngt et, datt dat laangjäregt Problem vum Zoufallszuelen-Ënnersystem Linux ass um Wee zu enger Léisung. D'Ännerungen, déi de Subsystem fir Zoufallszuelen an der leschter Zäit erlieft huet, hunn effektiv nëmmen zu DoS-Problemer während senger Benotzung gefouert. Elo gëtt et awer effizient Weeër fir déi bescht Zoufallszuelen ze kréien, déi de Kernel liwwere kann. Wann TRNG nach ëmmer wënschenswäert ass fir Linux, dann muss dëse Mangel an Zukunft adresséiert ginn, awer héchstwahrscheinlech gëtt dëst net am Kernel selwer gemaach.

Puer Annoncen 🙂

Merci datt Dir bei eis bleift. Hutt Dir eis Artikelen gär? Wëllt Dir méi interessant Inhalt gesinn? Ënnerstëtzt eis andeems Dir eng Bestellung maacht oder Frënn empfeelt, Cloud VPS fir Entwéckler vun $ 4.99, en eenzegaartegen Analog vun Entry-Level Serveren, dee vun eis fir Iech erfonnt gouf: Déi ganz Wourecht iwwer VPS (KVM) E5-2697 v3 (6 Cores) 10GB DDR4 480GB SSD 1Gbps vun $19 oder wéi een e Server deelt? (verfügbar mat RAID1 an RAID10, bis zu 24 Kären a bis zu 40GB DDR4).

Dell R730xd 2 Mol méi bëlleg an Equinix Tier IV Daten Zentrum zu Amsterdam? Nëmmen hei 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV vun $199 an Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vun $99! Liest iwwer Wéi bauen ech Infrastructure Corp. Klass mat der Benotzung vun Dell R730xd E5-2650 v4 Serveren Wäert 9000 Euro fir e Penny?

Source: will.com