Linux: bloķēšanas pūla /dev/random noņemšana

Ir zināms, ka /dev/random, kriptogrāfiski drošam pseidogadījuma skaitļu ģeneratoram (CSPRNG), ir viena kaitinoša problēma: bloķēšana. Šajā rakstā ir paskaidrots, kā to atrisināt.

Dažu pēdējo mēnešu laikā nejaušo skaitļu ģenerēšanas iespējas kodolā ir nedaudz pārveidotas, taču problēmas šajā apakšsistēmā ir atrisinātas plašākas darbības laikā. laika posms. Visvairāk pēdējās izmaiņas tika veikti, lai novērstu sistēmas izsaukuma getrandom() bloķēšanu uz ilgu laiku, kad sistēma tiek sāknēta, taču iemesls tam bija nejaušā pūla bloķēšanas darbība. Nesenais ielāps būtu noņēmis šo baseinu, un būtu bijis paredzēts, ka tas virzīsies uz galveno kodolu.

Endijs Lutomirskis decembra beigās publicēja trešo ielāpa versiju. Viņš sniedz ieguldījumu "divas lielas semantiskās izmaiņas nejaušās Linux API". Ielāps pievieno jaunu GRND_INSECURE karogu getrandom() sistēmas izsaukumam (lai gan Lutomirskis to apzīmē kā getentropy(), kas ir ieviests glibc, izmantojot getrandom() ar fiksētiem karodziņiem); šis karodziņš liek zvanam vienmēr atgriezt pieprasīto datu apjomu, taču negarantējot, ka dati ir nejauši. Kodols vienkārši darīs visu iespējamo, lai iegūtu vislabākos izlases datus, kas tam ir konkrētajā laikā. "Iespējams, vislabākais, ko darīt, ir nosaukt to par" NEDROŠU (nedroša), lai novērstu šīs API izmantošanu lietām, kurām nepieciešama drošība."

Plāksteri arī noņem bloķējošo baseinu. Kodols pašlaik uztur divus nejaušus datu kopumus, no kuriem viens atbilst /dev/random un otrs /dev/urandom, kā aprakstīts šajā raksts 2015. gads. Bloķēšanas pūls ir /dev/random baseins; šīs ierīces nolasījumi tiks bloķēti (kas nozīmē tās nosaukumu), līdz no sistēmas tiks savākts "pietiekami daudz" entropijas, lai izpildītu pieprasījumu. Ja pūlā nav pietiekami daudz entropijas, tiek bloķēta arī turpmāka šī faila lasīšana.

Bloķēšanas pūla noņemšana nozīmē, ka lasīšana no /dev/random darbojas kā getrandom() ar karodziņiem, kas iestatīti uz nulli (un pārvērš karogu GRND_RANDOM par noop). Kad kriptogrāfiskais nejaušo skaitļu ģenerators (CRNG) ir inicializēts, lasīšana no /dev/random un izsaukumi uz getrandom(...,0) netiks bloķēti un atgriezīs pieprasīto nejaušo datu apjomu.

Lutomirskis saka: “Es uzskatu, ka Linux bloķēšanas pūls ir novecojis. CRNG Linux ģenerē izvadi, kas ir pietiekami laba, lai to izmantotu pat atslēgu ģenerēšanai. Bloķējošais baseins nav spēcīgāks nekādā materiālā nozīmē, un tā atbalstam ir nepieciešama liela apšaubāmas vērtības infrastruktūra.

Izmaiņas tika veiktas ar mērķi nodrošināt, lai esošās programmas patiešām netiktu ietekmētas, un faktiski būtu mazāk problēmu, ilgstoši gaidot tādas lietas kā GnuPG atslēgu ģenerēšana.

"Šīs epizodes nedrīkst traucēt esošās programmas. /dev/urandom paliek nemainīgs. /dev/random joprojām bloķē uzreiz pēc sāknēšanas, taču tas bloķē mazāk nekā iepriekš. getentropy() ar esošajiem karodziņiem atgriezīs rezultātu, kas ir tikpat piemērots praktiskiem mērķiem kā iepriekš."

Lutomirskis atzīmēja, ka joprojām ir atklāts jautājums, vai kodolam ir jānodrošina tā sauktie “patiesie nejaušie skaitļi”, kas zināmā mērā bija jādara bloķējošajam kodolam. Viņš tam saskata tikai vienu iemeslu: “atbilstība valdības standartiem”. Lutomirskis ierosināja, ka, ja kodols to nodrošinātu, tas būtu jādara, izmantojot pilnīgi citu saskarni, vai arī tas ir jāpārvieto lietotāja telpā, ļaujot lietotājam izgūt neapstrādātus notikumu paraugus, kurus varētu izmantot šāda bloķēšanas pūla izveidošanai.

Stephan Müller ierosināja, ka viņa komplekts ielāpus Linux Random Number Generator (LRNG) (pašlaik izlaista versija 26) varētu būt veids, kā nodrošināt patiesus nejaušus skaitļus lietojumprogrammām, kurām tas ir nepieciešams. LRNG “pilnībā atbilst SP800-90B vadlīnijām par entropijas avotiem, ko izmanto nejaušu bitu ģenerēšanai”, padarot to par risinājumu valdības standartu problēmai.
Metjū Garets iebilda pret terminu “patiesi nejauši dati”, norādot, ka atlasītās ierīces principā var pietiekami precīzi modelēt, lai padarītu tās paredzamas: “šeit mēs neņemam kvantu notikumus.

Müller atbildēja, ka termins nāk no Vācijas standarta AIS 31, lai aprakstītu nejaušu skaitļu ģeneratoru, kas tikai rada rezultātu "tādā pašā ātrumā, kā pamatā esošais trokšņa avots rada entropiju".

Ja neskaita terminoloģijas atšķirības, LRNG ielāpu ieteiktais bloķēšanas baseins vienkārši radīs dažādas problēmas, vismaz tad, ja tam piekļūst bez privilēģijām.

Kā teica Lutomirskis: "Tas neatrisina problēmu. Ja divi dažādi lietotāji palaiž tādas muļķīgas programmas kā gnupg, viņi viens otru vienkārši iztukšo. Es redzu, ka pašlaik ir divas galvenās problēmas ar /dev/random: tas ir pakļauts DoS (t.i., resursu izsīkšanai, ļaunprātīgai ietekmei vai tamlīdzīgam), un, tā kā tā izmantošanai nav vajadzīgas nekādas privilēģijas, tas ir pakļauts arī ļaunprātīgai izmantošanai. Gnupg kļūdās, tas ir pilnīgs sabrukums. Ja pievienosim jaunu nepievilcīgu saskarni, ko izmantos gnupg un līdzīgas programmas, mēs atkal zaudēsim.

Muellers atzīmēja, ka getrandom() pievienošana tagad ļaus GnuPG izmantot šo saskarni, jo tas nodrošinās nepieciešamo garantiju, ka pūls ir inicializēts. Pamatojoties uz diskusijām ar GnuPG izstrādātāju Verneru Kohu, Muellers uzskata, ka garantija ir vienīgais iemesls, kāpēc GnuPG pašlaik lasa tieši no /dev/random. Bet, ja ir nepievilcīgs interfeiss, kas ir pakļauts pakalpojuma atteikumam (kā šodien ir /dev/random), Lutomirskis apgalvo, ka dažas lietojumprogrammas to izmantos ļaunprātīgi.

Teodors Jue Tak Tso, Linux nejaušo skaitļu apakšsistēmas izstrādātājs, šķiet, ir mainījis savas domas par bloķēšanas pūla nepieciešamību. Viņš teica, ka šī pūla noņemšana efektīvi atbrīvotos no idejas, ka Linux ir patiess nejaušo skaitļu ģenerators (TRNG): "tas nav muļķības, jo tieši to *BSD vienmēr ir darījis."

Viņš arī pauž bažas, ka TRNG mehānisma nodrošināšana vienkārši kalpos kā ēsma lietojumprogrammu izstrādātājiem, un uzskata, ka patiesībā, ņemot vērā dažādus Linux atbalstītos aparatūras veidus, nav iespējams garantēt TRNG kodolā. Pat spēja strādāt ar aprīkojumu tikai ar root tiesībām neatrisinās problēmu: "Lietojumprogrammu izstrādātāji drošības nolūkos norāda, ka viņu lietojumprogramma ir jāinstalē kā root, lai tas būtu vienīgais veids, kā jūs varat piekļūt" patiešām labiem" nejaušajiem skaitļiem."

Muellers jautāja, vai Cao ir atteicies no bloķēšanas baseina ieviešanas, ko viņš pats jau sen bija ierosinājis. Cao atbildēja, ka plāno izmantot Lutomirsky ielāpus un aktīvi iebilst pret bloķēšanas interfeisa pievienošanu atpakaļ kodolam.

"Kodols nevar sniegt nekādas garantijas par to, vai trokšņa avots ir pareizi raksturots. Vienīgais, ko var iegūt GPG vai OpenSSL izstrādātājs, ir neskaidra sajūta, ka TRUERANDOM ir "labāks", un, tā kā viņi vēlas lielāku drošību, viņi, bez šaubām, mēģinās to izmantot. Kādā brīdī tas tiks bloķēts, un, kad kāds cits gudrs lietotājs (iespējams, izplatīšanas speciālists) to ievietos init skriptā un sistēmas pārtrauks darboties, lietotājiem būs jāsūdzas tikai pašam Linusam Torvaldam.

Cao arī iestājas par to, lai kriptogrāfiem un tiem, kam patiešām ir nepieciešams TRNG, ir jādod veids, kā iegūt savu entropiju lietotāja telpā, lai to izmantotu pēc saviem ieskatiem. Viņš saka, ka entropijas apkopošana nav process, ko kodols var veikt visās dažādajās aparatūrā, ko tas atbalsta, kā arī pats kodols nevar novērtēt entropijas apjomu, ko nodrošina dažādi avoti.

Kodolam nevajadzētu jaukt kopā dažādus trokšņu avotus, un tam noteikti nevajadzētu mēģināt apgalvot, cik daudz entropijas bitu tas iegūst, mēģinot spēlēt kaut kādu "satricinošu entropijas spēli" uz nežēlīgi vienkāršā CPU. arhitektūra patērētāju lietotājiem. IOT/iegultie gadījumi, kad viss nav sinhronizēts ar vienu galveno oscilatoru, kur nav CPU norādījumu pārkārtot vai pārdēvēt reģistru utt.

“Var runāt par rīku nodrošināšanu, kas mēģina veikt šos aprēķinus, taču šādas lietas ir jādara katra lietotāja aparatūrā, kas vairumam izplatīšanas lietotāju vienkārši nav praktiski. Ja tas ir paredzēts tikai kriptogrāfiem, tad lai tas tiek darīts viņu lietotāja telpā. Un nevienkāršosim GPG, OpenSSL u.c., lai visi teiktu "mēs gribam "patiesu nejaušību" un nesamierināsimies ar mazāku. Mēs varam runāt par to, kā mēs nodrošinām saskarnes kriptogrāfiem, lai viņi varētu iegūt nepieciešamo informāciju, piekļūstot primārajiem trokšņu avotiem, kas ir atdalīti un nosaukti, un varbūt kaut kādā veidā trokšņa avots var autentificēt sevi bibliotēkā vai lietotāja telpas lietojumprogrammā.

Bija dažas diskusijas par to, kā šāds interfeiss varētu izskatīties, jo, piemēram, daži notikumi var ietekmēt drošību. Cao atzīmēja, ka tastatūras skenēšanas kodi (t.i., taustiņsitieni) tiek sajaukti pūlā kā daļa no entropijas vākšanas: "Ievest to lietotāja telpā, pat izmantojot priviliģētu sistēmas zvanu, būtu maigi izsakoties neprātīgi." Pilnīgi iespējams, ka citi notikumu laiki var radīt kāda veida informācijas noplūdi pa sānu kanāliem.

Tātad šķiet, ka ilgstoša problēma ar Linux nejaušo skaitļu apakšsistēmu ir ceļā uz risinājumu. Izmaiņas, kas nesen tika veiktas nejaušo skaitļu apakšsistēmā, faktiski ir izraisījušas tikai DoS problēmas tās lietošanas laikā. Tagad ir efektīvi veidi, kā iegūt labākos nejaušos skaitļus, ko kodols var nodrošināt. Ja TRNG joprojām ir vēlams operētājsistēmā Linux, tad šī kļūda būs jānovērš nākotnē, taču, visticamāk, tas netiks darīts pašā kodolā.

Dažas reklāmas 🙂

Paldies, ka palikāt kopā ar mums. Vai jums patīk mūsu raksti? Vai vēlaties redzēt interesantāku saturu? Atbalsti mūs, pasūtot vai iesakot draugiem, mākoņa VPS izstrādātājiem no 4.99 USD, unikāls sākuma līmeņa serveru analogs, ko mēs jums izgudrojām: Visa patiesība par VPS (KVM) E5-2697 v3 (6 kodoli) 10GB DDR4 480GB SSD 1Gbps no 19$ vai kā koplietot serveri? (pieejams ar RAID1 un RAID10, līdz 24 kodoliem un līdz 40 GB DDR4).

Dell R730xd 2x lētāk Equinix Tier IV datu centrā Amsterdamā? Tikai šeit 2x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV no 199$ Nīderlandē! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB — no 99 USD! Lasīt par Kā izveidot infrastruktūras uzņēmumu klase ar Dell R730xd E5-2650 v4 serveru izmantošanu 9000 eiro par santīmu?

Avots: www.habr.com