FERRAMENTAS LINUX: O kernel Linux está para proteger melhor a entropia enviada pelo espaço do usuário

quarta-feira, 18 de julho de 2018

O kernel Linux está para proteger melhor a entropia enviada pelo espaço do usuário





Confira!!



O Fedora começou a utilizar um daemon de entropia de jitter do espaço do usuário para alimentar a entropia para o kernel no momento da inicialização, caso não haja o suficiente disponível para as necessidades aleatórias do kernel. Mas com essa abordagem não sendo de um verdadeiro gerador de números aleatórios de hardware, um patch elaborado pelo experiente desenvolvedor de kernel do Linux, Ted Ts'o, vai misturar a entropia da RdRand.

O Fedora recorreu a um daemon de entropia de jitter do espaço do usuário para solucionar tempos de inicialização lentos em um subconjunto de sistemas / VMs ao usar kernels recentes. Uma mudança foi feita no kernel no início deste ano para tratar do CVE-2018-1108, que é uma fraqueza nos dados iniciais aleatórios do kernel, segundo os quais os processos iniciais na sequência de inicialização não poderiam ter dados aleatórios suficientes. Mas a correção reduz drasticamente a inicialização dos sistemas, esperando até que haja entropia suficiente disponível. Isso é problemático particularmente para VMs onde o virtio-rng não está presente. Para alguns usuários, eles não podem obter o (s) sistema (s) inicializado (s) nos kernels afetados, a menos que você toque nas teclas do teclado o suficiente para gerar entropia suficiente.

Portanto, o Fedora agora está implementando um daemon de entropia de jitter de espaço de usuário para garantir que a entropia suficiente esteja disponível no momento da inicialização. Esta fonte de gerador de número aleatório de jitter da CPU foi então adicionada às ferramentas de processamento upstream no início deste mês. Esse daemon de entropia de espaço do usuário utiliza o Gerador de Números Aleatórios do Jitter da CPU .

Mas com esse gerador / daemon não sendo um verdadeiro RNG físico, ele também está vulnerável a possíveis explorações. Mas Ted Ts'o agora enfileirou este pequeno patch misturando o Intel RdRand com a entropia enviada do espaço do usuário. Um bom número de pessoas não confia no gerador Intel RdRand para ser verdadeiramente aleatório e pode ser incomodado por agências de espionagem como a NSA, mas neste caso ele está simplesmente sendo misturado com a entropia fornecida pelo espaço do usuário: então agrega algum valor independentemente.

A discussão sobre o problema da entropia com o kernel pode ser encontrada através deste relatório de erros da Red Hat.enquanto Ted Ts'o entrou em sintonia com essa melhoria para proteger melhor a aleatoriedade pela RdR e ao confiar nos dados do espaço do usuário. Essa alteração é enfileirada no código de subsistema aleatório de Ted e também é marcada para inclusão por ramificações de kernel estáveis ​​suportadas.

Fonte

Até a próxima!

Nenhum comentário:

Postar um comentário