FERRAMENTAS LINUX: Atualização Crítica: Máquinas Virtuais “CoCo” Exigem o RdRand para a Segurança

domingo, 7 de abril de 2024

Atualização Crítica: Máquinas Virtuais “CoCo” Exigem o RdRand para a Segurança

 


Em um mundo onde a segurança cibernética é de extrema importância, as Máquinas Virtuais “CoCo” de Computação Confidencial estão liderando o caminho. 

Estas VMs são projetadas para serem o mais isoladas possível, considerando o host da VM como não confiável.

Uma das fontes limitadas de entropia para estas VMs convidadas são as instruções do gerador de números aleatórios de hardware RdRand. No entanto, há momentos em que o RdRand pode falhar. Nesses casos, as VMs convidadas do CoCo continuarão a inicializar, embora com entropia limitada ou sem entropia, afetando a geração de números aleatórios da VM.

Hoje, uma atualização crítica foi lançada como parte das correções x86 para O kernel Linux 6.9. Esta atualização agora exige a propagação de RNG com o RdRand para os ambientes CoCo. Caso contrário, um kernel panic ocorrerá.

O RdRand tem sido uma característica presente em CPUs Intel há mais de uma década. No entanto, às vezes, devido a problemas de CPU e/ou placa-mãe/BIOS, o RdRand pode não funcionar ou causar outros problemas. Com as VMs CoCo tendo uma fonte limitada de outra entropia ao inicializar para propagar o RNG, os convidados do Linux entrarão em pânico no kernel se essa fonte crítica de entropia apoiada por hardware não estiver disponível.

O especialista em segurança e desenvolvedor do WireGuard, Jason Donenfeld, foi o autor da alteração do kernel para exigir RdRand para convidados CoCo. Ele explicou que existem poucos usos do CoCo que não dependem de criptografia funcional e, portanto, de um RNG funcional.

Sem a propagação do RdRand, a maior parte da criptografia dentro da VM CoCo será quebrada, anulando a maior parte da motivação para a computação confidencial. O Linux 6.9-rc3 deve ser lançado ainda hoje com uma variedade de correções de kernel para a semana.

Fique ligado para mais atualizações sobre este tópico crítico de segurança cibernética.






Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário