The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В обновлениях к FreeBSD 8 и 9 изменено поведение генератора псевдослучайных чисел и исправлены уязвимости

15.01.2014 21:01

Разработчики FreeBSD выпустили errata-обновление, изменяющее логику работы генератора псевдослучайных чисел в поддерживаемых ветках FreeBSD 8.x и 9.x. Исправление отражает изменения в работе /dev/random, несколько месяцев назад реализованные для ветки FreeBSD 10. В частности, осуществлён уход от практики прямого вывода значений из аппаратных генераторов псевдослучайных чисел, при их наличии.

Разоблачения Сноудена дали повод усомниться в надёжности встроенных в современные процессоры генераторов псевдослучайных чисел, поэтому их значения теперь не используются в качестве единственного источника случайных данных. Для формирования качественных непредсказумых входных данных в генераторе случайных чисел применяется алгоритм Yarrow, предложенный Шнайером и основанный на дополнительном цикличном применении хэшей над малопредсказуемыми данными.

Ранее Yarrow не применялся при наличии аппаратных генераторов случайных чисел "RDRAND" и "Padlock", предоставляемых процессорами Intel и VIA. Представленное изменение отключает использование значений из "RDRAND" и "Padlock" как единственного источника энтропии. Предложенный для веток FreeBSD 8 и 9 патч сводится к отключению применения по умолчанию поддерживаемых аппаратных генераторов псевдослучайных чисел. Изменение можно применить без патча через установку в /boot/loader.conf значений hw.nehemiah_rng_enable=0 и hw.ivy_rng_enable=0.

В новой реализации аппаратные генераторы применяются как один из нескольких доступных источников энтропии, смешиваемых при помощи Yarrow, наряду с данными из разных частей ядра. Таким образом, даже если надёжность одного из источников энтропии окажется дискредитированной и появятся средства для предсказания выводимых через них значений, то это не повлияет на общее качество генерируемых через /dev/random случайных чисел, которые по-прежнему останутся непредсказуемы.

Кроме изменений для /dev/random, представлены четыре обновления с устранением уязвимостей в bsnmpd, openssl, ntpd и bind, а также один Errata, связанный с решением возможных проблем при использовании mmap. Уязвимость в bsnmpd не исключает возможность выполнения кода злоумышленника с правами процесса bsnmpd через отправку специально оформленного запроса. Проблема в bind позволяет осуществить DoS-атаку при наличии на сервере подписанных (NSEC3) зон. Исправления в openssl устраняют проблемы, недавно решённые в OpenSSL 1.0.0l. Изменение в ntpd отключает поддержку команды monlist, которая может применяться для организации DDoS-атак, использующих NTP-серверы для усиления трафика.

  1. Главная ссылка к новости (http://lists.freebsd.org/piper...)
  2. OpenNews: Результаты улучшения реализации встроенного в ядро FreeBSD генератора псевдослучайных чисел
  3. OpenNews: Выявлена проблема с генерацией предсказуемых случайных чисел на процессорах MIPS
  4. OpenNews: Проблемы с надёжностью генератора псевдослучайных чисел из состава ядра Linux
  5. OpenNews: Опубликован прототип бэкдора в генераторе псевдослучайных чисел Dual_EC_DRBG, входившем в стандарт NIST
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/38865-random
Ключевые слова: random, freebsd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, G.NercY.uR (?), 22:14, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оперативненько.
    А по поводу генераторов псевдослучайных чисел, скажите кто знает, нет ли там например механизма записи накопленной энтропии в какое-то место на диске с целью при последующих перезагрузках этот накопленный в предыдущем сеансе кусок использовать как доп. источник?
     
     
  • 2.4, 123 (??), 22:40, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В данном случае, я бы больше интересовался равномерностью распределения генерируемых чисел.
     
     
  • 3.58, ffirefox (?), 01:20, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Такой равномерный ряд целых чисел [1, 5] Вас устроит?
    123452134523145....

    Равномерность распределения не есть главная характеристика случайности.

     
  • 2.5, Аноним (-), 23:33, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > нет ли там например механизма записи накопленной энтропии в какое-то место на диске с целью при последующих перезагрузках этот накопленный в предыдущем сеансе кусок использовать как доп. источник?

    Есть. /etc/rc.d/random

     
  • 2.7, XoRe (ok), 00:19, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Оперативненько.
    > А по поводу генераторов псевдослучайных чисел, скажите кто знает, нет ли там
    > например механизма записи накопленной энтропии в какое-то место на диске с
    > целью при последующих перезагрузках этот накопленный в предыдущем сеансе кусок использовать
    > как доп. источник?

    Во freebsd уже лет 10 как есть.
    Складывается в /var/db/entropy/

     
     
  • 3.37, клоун Стаканчик (?), 12:26, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Все 10 лет складывается? Всем юзерам настолько нужна энтропия в таких объёмах? это уже не F-BSD, а (F)BDSM какой-то. Вообще никогда не понимал на кой на это вычислительные ресурсы тратить. Кому надо - пусть сам генерит.
     
     
  • 4.54, Жорж (?), 23:11, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ничего тупее не читал давненько. Сделаю скриншот, буду смотреть на него и печалиться.
     
     
  • 5.61, клоун Стаканчик (?), 10:39, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кроме того, чтобы пользователям было нескучно, есть другие причины её накопления?
     
  • 5.64, anonymous (??), 00:11, 18/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ничего тупее не читал давненько. Сделаю скриншот, буду смотреть на него и
    > печалиться.

    Лучше выясните лечится ли отсутствие чувства юмора.
    Может случай не совсем запущенный.

     
  • 4.66, XoRe (ok), 22:19, 18/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Все 10 лет складывается?

    Конечно!
    Во FreeBSD знают толк в бережном хранении энтропии.
    А вы думаете, они просто так в ZFS вцепились?
    Им нужна надежная файловая система для хранения всякого рандома.
    Я вам даже больше скажу.
    Большинство файловых систем не совместимы с хранением рандомных данных.
    Только сделаешь cat /dev/urandom > /dev/ad0, как все сразу херится.

     
  • 2.53, Аноним (-), 18:41, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > использование значений из "RDRAND" и "Padlock" как единственного источника энтропии.

    Нииииииииииххххххрена себе у некоторых "безопасность"! Линуксоиды от одной только идеи так делать кирпичами cpyт, ибо малейший бэкдор в аппаратном RNG и ваша карта бита. Teodor Ts'о некисло на этот счет в рассылке высказывался. А тут до граждан только начинает еще доползать что так делать - не айс. Охренеть.

     
     
  • 3.55, Аноним (-), 23:22, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Как сказал тот параноик, который в LKML выступал - использовать RDRAND нельзя _вообще_, потому что хитрый интеловский проц может проследить, с чем комбинируется его вывод, и заблокировать модификацию своих чисел.

    // Как ни странно, санитаров ему так и не вызвали. Только Линус обматерил.

     
     
  • 4.59, Аноним (-), 01:25, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В принципе - может Тем не менее, из-за доказанности тезисов Тюринга проблема не... большой текст свёрнут, показать
     

  • 1.2, Аноним (-), 22:23, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    /usr/sbin/named: Undefined symbol "_ThreadRuneLocale"/etc/rc.d/named: WARNING: failed to start named
    и что теперь делать?
     
     
  • 2.3, Аноним (-), 22:27, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    freebsd-update rollback
    Uninstalling updates... done. пока так.
     
  • 2.14, Alexander Sheiko (?), 03:28, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Выглядит как несовпадение версий ядра и мира.
     
     
  • 3.50, Аноним (-), 18:07, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо, мил человек
     
  • 3.51, rew (??), 18:09, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На самом деле это баг, возникающий между 9.1 и 9.2 или или 9.0 и 9.1. Не помню как его решал, но решил. Гуглите.
     
     
  • 4.69, наноанон (?), 13:52, 28/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    надо удалить /usr/src/* и скачать исходники 9.2 src.txz с сервера и все.
     
  • 2.62, 999 (ok), 13:43, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    cd /usr/ports/dns/bind99 && make config deinstall reinstall
    с replace_base не прокатывает?
     
     
  • 3.68, Аноним (-), 17:03, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    а конфиг не придется менять?
     

  • 1.15, anonus (?), 03:35, 16/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тут кстати Тео знатно вбросил по этому поводу, и блин, не могу найти ссылку.
     
     
  • 2.28, uldus (ok), 09:55, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Тут кстати Тео знатно вбросил по этому поводу, и блин, не могу
    > найти ссылку.

    http://www.itwire.com/business-it-news/open-source/62641-crypto-freebsd-playi

    ответ McKusick
    http://www.itwire.com/business-it-news/open-source/62728-mckusick-denies-free

     
     
  • 3.29, Andrey Mitrofanov (?), 10:20, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >/62641-crypto-freebsd-playing-catch-up-says-de-raadt

    Тео: Они перестали использовать аппаратные rng напрямую в /dev/random. У нас это с 2003г. Они отсталые-догоняющие.

    > ответ McKusick
    > /62728-mckusick-denies-freebsd-lagging-on-security

    МакКузик: Не-не. Мы не отсталые, мы не тормоза. У нас передовые научные разработки. С самого 2004г над нашим /dev/random передОво работают передовЫе разрабы. А теперь у нас самая передовАя модная Fortuna же, а не ваш замшелый Yarrow.

    ----
    Как OpenNET мог повестись на провокацию!? То, что там наверху написано, неправда же. Требуем опровержения!</>

     
     
  • 4.56, Аноним (-), 23:23, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > МакКузик: Не-не. Мы не отсталые, мы не тормоза. У нас передовые научные
    > разработки. С самого 2004г над нашим /dev/random передОво работают передовЫе разрабы.
    > А теперь у нас самая передовАя модная Fortuna же, а не
    > ваш замшелый Yarrow.

    Требуется больше инноваций и нанотехнологий!

     
     
  • 5.60, Аноним (-), 01:27, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Требуется больше инноваций и нанотехнологий!

    Нанотехнологии с аппаратными RNG уже блин внедрили. А о том что там бэкдор может быть - подумали сильно опосля...

     

  • 1.33, AcDc (?), 11:36, 16/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Таким образом, даже если надёжность одного из источников энтропии окажется дискредитированной и появятся средства для предсказания выводимых через них значений, то это не повлияет на общее качество генерируемых через /dev/random случайных чисел, которые по-прежнему останутся непредсказуемы. <--- Это в корне не верно!!!
    Мультипликация двух функций, дискредитированой и псевдослучайной, любая, - это дискредитировання функция.
    Возьмём дискредитированную функцию "случайных чисел" f1(x1)=RND(x1)*exp(x1) и нормальную f2(x)=RND2(x2). Их мультипликация F(x)= f1(x1) *+ f2(x2) - дискредитирована.
    Жизненный пример - разведчик во вражеских войсках.
     
     
  • 2.35, Аноним (-), 12:03, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А как же детерминант треугольной матрицы 4-й степени?
     
  • 2.36, клоун Стаканчик (?), 12:15, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я не столь уверен. По вашей логике получается, что если я буду разбавлять истинно случайную последовательность числом 0 раз в 10 лет, то это её дискредитирует и она перестанет быть непредсказуемой.
     
     
  • 3.38, AcDc (?), 12:29, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не раз в 10-ть лет - а постоянно.
     
     
  • 4.39, клоун Стаканчик (?), 12:33, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я вас не понимаю.

    "Мультипликация двух функций, дискредитированой и псевдослучайной, любая, - это дискредитировання функция" - Да или Нет?

    Я привёл пример, когда подобная мультипликация никого не дискредитирует.

     
     
  • 5.40, AcDc (?), 12:47, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ННужно строить дискредитированную функцию явно а не тождественно равной константе и постоянно делать мультипликацию.
     
     
  • 6.41, клоун Стаканчик (?), 12:56, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    По мне, вы просто не понимаете о чём говорите. Пытаетесь на ходу вывести общее решение и обламываетесь.
     
     
  • 7.65, anonymous (??), 00:19, 18/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > По мне, вы просто не понимаете о чём говорите. Пытаетесь на ходу
    > вывести общее решение и обламываетесь.

    На пальцах: одна функция выдает случайное число (например x), вторая известное (например 5).
    Сможете найти y в уравнении x * 5 = y?

     
  • 2.43, КО (?), 13:27, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >Возьмём дискредитированную функцию "случайных чисел" f1(x1)=RND(x1)*exp(x1) и нормальную f2(x)=RND2(x2). Их мультипликация F(x)= f1(x1) *+ f2(x2) - дискредитирована.
    >Жизненный пример - разведчик во вражеских войсках.

    Можете пояснить на простом понятном примере.
    Вот вы разведчик. И можете сгенерить любое число (0 или 1) по своему желанию.
    Сгенерите такое, чтобы его побитовая сумма (XOR) с тем, что загадаю я была равна 1.

     
     
  • 3.44, клоун Стаканчик (?), 13:35, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Он ведёт речь немного о другом, но не способен внятно выразить свою идею.

    Предположим, есть две последовательности случайных числей, одна из которых известна атакующему (А), а другая истинно случайная (Б). Предположим, что они генерируют значения с равной скоростью. Получим нечто вроде: ...АБАБААБАББАБАБ...

    Внешне последовательность кажется непредсказуемой, но не является такой и над ней можно пованговать.

     
     
  • 4.46, Kodir (ok), 15:43, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всё это фигня, над БАБАБАБ вы НИЧЕГО не сможете сделать, тем более, что в цепочке идут не АБАБ, а произведение, т.е. фик проссышь что там было (если ещё "дискредитированную" цепочку разбавлять другими случайными цепочками).

    Представляю, как сейчас срут кирпичами АНБ - так стараться прогибать Интел и в итоге всё равно получить по носу. :)

     
     
  • 5.52, anonymous (??), 18:30, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > стараться прогибать Интел

    Ты правда думаешь что компани уровня Интела или гугла могут существовать без прямой поддержки и управления на самом верху ?

     
  • 4.67, ызусефещк (?), 12:14, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Если внимательно читать новость, то никто там не использует АБАБА и прочие подобные вещи напрямую. Разные источники замешиваются и используются потом как основа для Yarrow от Шнайера.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру