LINUX.ORG.RU
ФорумTalks

Дефолтный источник рандома в криптографических приложениях

 , ,


0

2

как известно, от качества генератора случайных чисел напрямую зависит криптостойкость ключей шифрования. Я решил покопаться на эту тему в тулзах OpenSSL и GnuTLS, конкретно в утилитах для генерации RSA ключей. Оказывается, все они по дефолту используют в онтопике /dev/urandom

A counterpart to /dev/random is /dev/urandom («unlocked»/non-blocking random source[4]) which reuses the internal pool to produce more pseudo-random bits. This means that the call will not block, but the output may contain less entropy than the corresponding read from /dev/random. While it is still intended as a pseudorandom number generator suitable for most cryptographic purposes, it is not recommended for the generation of long-term cryptographic keys.

А RSA ключи как раз являются «long-term cryptographic keys» в большинстве случаев. Получается, что сгенерированные таким образом ключи могут быть ненадёжными, и всякие NSA теоретически могут без палева на раз-два крякать перехваты траффика (OpenVPN туннели, SSL соединения с веб-сайтами и т.д.) ничего не подозревающих хомячков и прочих бородатых террористов

В оффтопике в случае OpenSSL всё еще печальнее - по дефолту в качестве рандома используется снимок экрана с десктопа, который вполне предсказуем

А еще я откопал такой кусочек кода в OpenSSL, в crypto/bn/bn_rand.c, который в том числе участвует и в генерации ключей:

...
	/* make a random number and set the top and bottom bits */
	time(&tim);
	RAND_add(&tim,sizeof(tim),0.0);

Во всех умных книжках пишется, «ата-та, так нельзя делать, таймер в качестве посева для ГПСЧ нельзя использовать, т.к. последовательность предсказуема»

★★★★★

Нарисуй муар на gpu, а потом считай в критических точках. Оне, кажись, даже в одной партии будут отличаться :). А может даже от оптимизации зависят.

vahtu ()

всякие NSA теоретически могут без палева на раз-два крякать перехваты траффика (OpenVPN туннели, SSL соединения с веб-сайтами и т.д.)

спасибо, посмешил :)

это играет роль только если ты подряд будешь перехватывать over9000 ключей RSA, нагенерированных хостом.

dikiy ★★☆☆☆ ()

Во всех умных книжках пишется, «ата-та, так нельзя делать, таймер в качестве посева для ГПСЧ нельзя использовать, т.к. последовательность предсказуема»

а это не тот случай когда, это число нечисто для посева. Дальше от этого числа будет найдено «следующее» простое. Или даже непросто простое, а пара простых имеющих особые свойства. Алгоритм определня простоты числа - вероятностный...

n_play ()

В оффтопике в случае OpenSSL всё еще печальнее

Ну кто в оффтопике использует OpenSSL для генерации ключей?! Да и в онтопике не следует. И вообще, приличные параноики используют HSM-ы.

segfault ★★★★★ ()
Ответ на: комментарий от dimon555

TPM далеко не везде есть. Зато в интеловских чипсетах и процессорах давненько присутствуют аппаратные генераторы.

Lighting ★★★★★ ()
Ответ на: комментарий от i-rinat

оно через Google Wallet продается, гуглу палить свой адрес и карту не хочется :) пичалька

Harald ★★★★★ ()

Видел недавно патчи, которые повышают энтропию ГПСЧ ядра. Правда, не помню, войдут ли в 3.5.

post-factum ★★★★★ ()
Ответ на: комментарий от Harald

есть истории успеха по его применению?

Я о нём узнал из статьи https://grepular.com/Protecting_a_Laptop_from_Simple_and_Sophisticated_Attacks

Вкратце: автор озаботился безопасностью такого уровня, который только ему доступен. Причём он не фанат криптографии как в xkcd/538, но просто хочет, чтобы никто не копался без его ведома. В статье рассмотрено большое число векторов атаки, о многих из которых я только из этой статьи и узнал.

i-rinat ★★★★★ ()

это не паранойя, это катастрофа. NSA сейчас, наверное, что угодно расколет :(

stevejobs ★★★★☆ ()
Ответ на: комментарий от Loki29

В Ivy Bridge, ЕМНИП, есть встроенный ГСЧ.

а можно ли ему доверять?

Harald ★★★★★ ()

[mode=«для параноиков»]
берешь старый советский приемник, настраиваешь его на белый шум, втыкаешь в звуковуху, читаешь случайные данные из звуковухи. Точка.
[/mode]

Atlant ★★★★★ ()
Ответ на: комментарий от Atlant

а вдруг спецслужбы начнут специально модифицированный шум вещать на частоте, на которую настроен приемник? :)

идеальный ГСЧ должен быть огорожен от воздействий внешней среды

Harald ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.