The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

15.10.2013 10:39  Проблемы с надёжностью генератора псевдослучайных чисел из состава ядра Linux

Группа исследователей, специализирующихся на криптографии, провела (PDF, 750 Кб) математический анализ качества случайных чисел, генерируемых предоставляемыми ядром Linux реализациями /dev/random и /dev/urandom. В итоге сделан вывод, что данные генераторы псевдослучайных чисел не предоставляют должного уровня надёжности, необходимого для применения в криптографических операциях. Основной проблемой генератора случайных чисел Linux называется слабая реализация кода для сбора и накопления энтропии.

>В документе представлено несколько сценариев атак, которые теоретически обосновывают наличие проблемы, но возможность их практического применения вызывает сомнения. Также предложены методы по устранению выявленных проблем и повышению качества энтропии.



  1. Главная ссылка к новости (https://www.schneier.com/blog/...)
  2. OpenNews: Оценка возможности создания аппаратных бэкдоров, работающих на транзисторном уровне
  3. OpenNews: Выявлена проблема с генерацией предсказуемых случайных чисел на процессорах MIPS
  4. OpenNews: Полпроцента используемых в Web ключей RSA испытывают проблемы с безопасностью
  5. OpenNews: В Cryptocat найдена серьёзная уязвимость, позволяющая получить доступ к зашифрованным сообщениям
Лицензия: CC-BY
Тип: Обобщение
Ключевые слова: random
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.5, sdsds (ok), 11:12, 15/10/2013 [ответить] [показать ветку] [···]    [к модератору]
  • –10 +/
    генерируйте число сами, для надёжности :)
     
     
  • 2.11, Аноним (-), 11:33, 15/10/2013 [^] [ответить]    [к модератору]
  • +17 +/
    Хуже этого совета, может быть только совет придумывать свою криптографию.
     
     
  • 3.14, dalco (ok), 11:36, 15/10/2013 [^] [ответить]    [к модератору]
  • +2 +/
    Ну, если мужика зовут Брюс Шнайер, то может и сам криптографию замутить ;)
     
     
  • 4.16, Аноним (-), 11:55, 15/10/2013 [^] [ответить]    [к модератору]
  • –3 +/
    Если бы бабушка была бы дедушкой
     
     
  • 5.79, Аноним (-), 22:28, 15/10/2013 [^] [ответить]    [к модератору]
  • +/
    это точно был бы Брюс Шнайер?
     
     
  • 6.83, Nuts (?), 02:50, 16/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Брюс "Челси" Шнайер
     
  • 3.29, Аноним (-), 12:51, 15/10/2013 [^] [ответить]    [к модератору]  
  • +6 +/
    Чтобы нагенерить 256-битный ключ для раздела с системой нужно подбросить монетку всего 256 раз. За 10 минут можно управиться.
     
     
  • 4.30, Аноним (-), 12:58, 15/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Ещё удобно генерить по 3 бита за раз, используя октоэдрический дайс от настольно... весь текст скрыт [показать]
     
     
  • 5.35, Аноним (-), 14:06, 15/10/2013 [^] [ответить]    [к модератору]  
  • +10 +/
    > подбрасывать сразу пригоршню, выбирать какие понравятся в случайном порядке.

    Можно просто полкило монет метнуть и получить 1024-битный ключ :)

     
     
  • 6.42, Аноним (-), 14:43, 15/10/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    Тасовать и подбирать замучаешься. Хотя, для этого можно румбу приспособить. Для добавления энтропии пинать румбу.
     
  • 5.40, linux must _RIP_ (?), 14:39, 15/10/2013 [^] [ответить]    [к модератору]  
  • –3 +/
    а может проще тепловой шум от транзистора ?....
     
     
  • 6.43, Аноним (-), 14:58, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Нужно калибровать и экранировать от частотных наводок. Мало ли как там припой налепился, может оно больше нулей или единиц выдаёт, а то и вообще пилу.
     
     
  • 7.71, Аноним (-), 20:06, 15/10/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    > налепился, может оно больше нулей или единиц выдаёт, а то и вообще пилу.

    Или вообще радио Маяк ловит, так что рандом получается не таким уж и рандомным...

     
  • 7.81, haha (??), 23:52, 15/10/2013 [^] [ответить]     [к модератору]  
  • +/
    кому вы тут рассказываете Именно так и устроен генератор в процессорах Причем ... весь текст скрыт [показать]
     
     
  • 8.95, Игорь (??), 19:34, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    эти тестеры агитируют использоть виндозное ядро, там все пучком генерится.
    ПС. интересные коментарии
     
  • 7.88, linux must _RIP_ (?), 10:00, 16/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    зато 2х одинаковых не получится :-)
     
  • 6.44, YetAnotherOnanym (ok), 15:01, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    NSA не велит. Иначе чем можно объяснить, что VIA начала выпускать процессоры с аппаратным криптоакселератором и генератором случайных чисел в 2003 г., а Intel - только в 2010.
     
     
  • 7.78, u (?), 22:13, 15/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    То то я запуская usr games sol на VIA C7-M Processor flags fpu vme de pse t... весь текст скрыт [показать]
     
  • 7.93, kurokaze (ok), 13:23, 17/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    >NSA не велит

    А СОРМ-2, как? Не жмёт?

     
  • 5.58, www2 (??), 17:15, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >выбирать какие понравятся

    О нет, только не это!

     
  • 5.70, Аноним (-), 20:00, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >выбирать какие понравятся в случайном порядке

    а как еще можно? сортировать что ли и брать в порядке убывания?

     
     
  • 6.92, Аноним (-), 01:26, 17/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >сортировать

    Сортировать рандом? Зачем утруждаться! Смело вбивай 1234QWERTY.

     
  • 4.63, Адекват (ok), 18:22, 15/10/2013 [^] [ответить]     [к модератору]  
  • +4 +/
    а можно повесить а стену листок миллиметровой бумаги и чихнуть на него - в какие... весь текст скрыт [показать]
     
     
  • 5.65, pavel_simple (ok), 18:53, 15/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    вы не боитесь разбить об стену голову, или это уже не важно ... весь текст скрыт [показать]
     
  • 5.68, nmorozov (ok), 19:45, 15/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    ключ будет плохой, слишком равномерный
     
  • 5.72, Аноним (-), 20:07, 15/10/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    Чихать каждый раз когда вам потребуется случайное число немного не практично Хо... весь текст скрыт [показать]
     
  • 5.77, макс (??), 20:55, 15/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    для мест где нужно надёжные случйные числа, ставим аппратный сертифицированый ДСЧ
     
  • 4.66, Аноним (-), 19:24, 15/10/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    Можно просто /dev/random использовать, который, в отличии от /dev/urandom является ГСЧ.
     
  • 4.67, umbr (ok), 19:32, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    надежность этого способа тоже можно поставить под сомнение: а вдруг на ребро встанет
     
     
  • 5.91, Аноним (-), 01:21, 17/10/2013 [^] [ответить]    [к модератору]  
  • +/
    пинай поверхность @ приближай тепловую смерть вселенной
     
  • 2.32, ДяДя (?), 13:19, 15/10/2013 [^] [ответить]     [к модератору]  
  • +5 +/
    Правильно В этом деле нельзя доверять никому Как пример Одно время в мэйнф... весь текст скрыт [показать]
     
  • 2.34, Аноним (-), 14:06, 15/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    >  генерируйте число сами, для надёжности :)

    Да, получится как-то так: http://www.xkcd.com/221/

     
     
  • 3.48, тоже Аноним (ok), 15:39, 15/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Если захотеть, то рандом действительно прекрасно генерится вручную Тот же TrueC... весь текст скрыт [показать]
     
     
  • 4.73, Аноним (-), 20:08, 15/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Если вы посмотрите повнимательнее, это лишь 1 из источников хаоса, не более Пот... весь текст скрыт [показать]
     
     
  • 5.76, тоже Аноним (ok), 20:41, 15/10/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Понятно, что один из Хотя, судя по вы готовы предсказать значение, например, тр... весь текст скрыт [показать]
     
     ....нить скрыта, показать (34)

  • 1.7, Аноним (-), 11:13, 15/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +16 +/
    Анон не будет аноном, если в скором времени не появится systemd-randomd :)
     
     
  • 2.22, Аноним (22), 12:13, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    man rngd
     
     
  • 3.39, verus (ok), 14:39, 15/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Не покушайтесь на святое "устаревшим поделием бородатых маргиналов" :)))))
     
  • 1.8, Аноним (8), 11:23, 15/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    в каченстве энтропийного фактора нужно делать замеры пульса или следить за перемещением зрачка
     
     
  • 2.15, Andrey Mitrofanov (?), 11:46, 15/10/2013 [^] [ответить]    [к модератору]  
  • +16 +/
    > в каченстве энтропийного фактора нужно делать замеры пульса или следить за перемещением
    > зрачка

    Тыкая в измеряемого шилом и раскалённым утюгом!

     
     
  • 3.31, Аноним (-), 13:07, 15/10/2013 [^] [ответить]    [к модератору]  
  • +12 +/
    Паяльник теперь можно использовать и для зашифровки! Симметричный алгоритм, однако.
     
  • 2.41, Аноним (-), 14:43, 15/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > в каченстве энтропийного фактора нужно делать замеры пульса

    Не такой уж случайный фактор.

     
  • 1.12, Аноним (-), 11:33, 15/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    Шнайера с его кривым Блоуфишем спросить забыли.
     
     
  • 2.24, daemontux (?), 12:27, 15/10/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    > Шнайера с его кривым Блоуфишем спросить забыли.

    Ну конечно местным анонимным аналитикам веднее.

     
  • 2.36, Аноним (-), 14:08, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Шнайера с его кривым Блоуфишем спросить забыли.

    А чем его блоуфиш такой уж кривой? К нему есть какие-то обоснованные претензии?

     
     
  • 3.38, anonymous (??), 14:20, 15/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    >> Шнайера с его кривым Блоуфишем спросить забыли.
    > А чем его блоуфиш такой уж кривой? К нему есть какие-то обоснованные
    > претензии?

    АНБ забыло бэкдор туда сунуть, вот и бесится.

     
  • 3.51, Аноним (-), 16:32, 15/10/2013 [^] [ответить]    [к модератору]  
  • –3 +/
    Да не, не кривой. Супер-шифр. Типа все буквы на одну сдвинем - никто не догадается.
     
     
  • 4.61, Аноним (-), 17:55, 15/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Ахтунг! Крипто-аналнытик в трэде!
     
  • 4.74, Аноним (-), 20:16, 15/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Нормальный шифр, вполне себе осмысленно и со знанием дела задизайненый Крупного... весь текст скрыт [показать]
     
     
  • 5.80, arisu (ok), 23:12, 15/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Шифр как шифр, IMHO вполне можно пользоваться.

    да оставь ты этого, который сверху. оно же ничего не понимает даже в границах применимости. но Оналитег!

     
  • 4.94, Аноним (-), 16:18, 17/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Кейт, залогиньтесь уже и таки-нет, ваш Rinjael AES - более убог собсно поэтому... весь текст скрыт [показать]
     
  • 1.13, Andrey Mitrofanov (?), 11:36, 15/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +10 +/
    >.pdf), 750 Мб)

    Intel и NSA наносят ответный! Фёдор Цо повержен.

    > математический анализ качества случайных чисел
    > сделан вывод, что данные генераторы псевдослучайных чисел не предоставляют должного уровня надёжности, необходимого для применения в криптографических

    Все видят слово "псевдослучайных"? О не достаточности /dev/urandom для Криптографически Криптографической Криптографии написано же где-то в недрах /u/sh/doc/l/Documentation и в _каждом README к каждому криптографически криптографичному пакету.

    Что же хотят протолкнуть нам Intel и NSA под соусом столь прорывного и ощеломляющего вывода? Интриги-расследования.

    > операциях. Основной проблемой генератора случайных чисел Linux, называется слабая реализация кода для сбора и накопления энтропии.
    > В документе представлено несколько сценариев атак, которые теоретически

     
     
  • 2.19, Andrey Mitrofanov (?), 12:07, 15/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    А, может, и нет https www schneier com blog archives 2013 10 insecurities_in ... весь текст скрыт [показать]
     
  • 2.37, Аноним (-), 14:09, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >>.pdf), 750 Мб)
    > Intel и NSA наносят ответный! Фёдор Цо повержен.

    Его придавило распечатками? :)

     
     
  • 3.59, Аноним (-), 17:17, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    https://xkcd.com/1260/
     
     
  • 4.75, Аноним (-), 20:17, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > https://xkcd.com/1260/

    Наверное он тоже распечатал 750Мб PDFник...

     
     
  • 5.84, Michael Shigorin (ok), 03:09, 16/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Наверное он тоже распечатал 750Мб PDFник...

    Не, это Митрофанова что-то клинит с цитированием килобайт как бегамайт.  Первые раз двести бывало смешно, пожалуй.

     
     
  • 6.89, Andrey Mitrofanov (?), 11:54, 16/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Особенности форума подвели дедушку в очередной раз Если в ajax-форуме видишь на... весь текст скрыт [показать]
     
     
  • 7.90, arisu (ok), 15:54, 16/10/2013 [^] [ответить]     [к модератору]  
  • +/
    угу правки новости в 171 основном виде 187 никак не влияют на текст новости... весь текст скрыт [показать]
     
  • 1.17, inferrna (ok), 11:56, 15/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    В новых процах, вроде, есть же аппаратная поддержка, нэ?
     
     
  • 2.20, freehck (ok), 12:09, 15/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Вы ещё один наивный приверженец аппаратных генераторов?
     
     
  • 3.21, Andrey Mitrofanov (?), 12:11, 15/10/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    > Вы ещё один наивный приверженец аппаратных генераторов?

    Никто не ждал внештатных продавцов intel-а!

     
     
  • 4.25, Аноним (-), 12:31, 15/10/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    И их оружие включает такие разнообразные элементы, как аппаратный генератор случайных чисел...
     
     
  • 5.27, Andrey Mitrofanov (?), 12:38, 15/10/2013 [^] [ответить]    [к модератору]  
  • +5 +/
    >как аппаратный генератор случайных чисел...

    А я-то думаю -- откуда эти потоки маркетингового б-щита.

     
     
  • 6.28, Клыкастый (ok), 12:48, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    тогда не подходит. они предсказуемы и закономерны.
     
  • 2.26, 123 (??), 12:34, 15/10/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    В старых чипсетах то-же была.
     
  • 1.33, alx (??), 13:58, 15/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Они еще не видели энтропию гостевых виртуальных машин. Там вообще цирк с конями.
     
  • 1.45, Crazy Alex (ok), 15:07, 15/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    А вот и осмысленный ответ: https://www.schneier.com/blog/archives/2013/10/insecurities_in.html#c1909001

    Основное, на что бы я обратил внимание:

    Speaking more generally, I'm a bit dubious about academic analysis which are primarily worried about recovering from the exposure of the state of the random pool. In practice, if the bad guy can grab the state of random pool, they probably have enough privileged access that they can do many more entertaining things, such as grabbing the user's passphrase or their long-term private key.

     
  • 1.46, Аноним (-), 15:15, 15/10/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Ну это же не новость, во всех криптографических библиотеках системный генератор ... весь текст скрыт [показать]
     
     
  • 2.47, Аноним (-), 15:24, 15/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Скажи дорогуша, luks через что работает?
     
     
  • 3.52, Аноним (-), 16:32, 15/10/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    > Скажи дорогуша, luks через что работает?

    Поинтересуйся, где PGP (Не путать с GnuPG) брала random seed.

     
  • 1.53, Аноним (-), 16:33, 15/10/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Вижу, аноны в криптографии разбираются как свинья в апельсинах Ну и ну Ми... весь текст скрыт [показать]
     
     
  • 2.54, Аноним (-), 16:42, 15/10/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    Я не помню где я купил свой, но я точно знаю что твой тебе продали в переходе метро.
     
  • 1.55, Аноним (-), 16:45, 15/10/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Т е результаты можно предсказать с какой-то вероятностью снимая какие-то показат... весь текст скрыт [показать]
     
  • 1.60, Аноним (-), 17:38, 15/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    /dev/random в /dev/null!
     
  • 1.62, Аноним (-), 18:13, 15/10/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • –2 +/
    Частично удивлен от данной новости, ну хотя бы потому что Linux используют во мн... весь текст скрыт [показать]
     
     
  • 2.64, Аноним (-), 18:51, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Далеко не во всех научных приложениях используют системный псевдослучайный генератор. Есть же библиотеки, реализующие РАЗНЫЕ алгоритмы, подоходящие для тех или иных задач.
     
     
  • 3.69, Аноним (-), 19:47, 15/10/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    С этим согласен, я просто к тому что до того как Linux стал столь популярен ране... весь текст скрыт [показать]
     
  • 1.82, RNZ (ok), 00:09, 16/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    video_entropyd - не?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor