http://arstechnica.com/security/2013/12/we-cannot-trust-intel-and-vias-chip-based-crypto-freebsd-developers-say/


Разработчики операционной системы FreeBSD больше не будут позволять пользователям доверять процессорам производства компании Intel и Via Technologies в качестве единственного источника случайных чисел, необходимых для генерации криптографических ключей, которые не могут быть легко взломаны правительственными шпионами и другими противниками.

Изменение, которое будет эффективны в наступающем FreeBSD версии 10.0, через три месяца после секретных документов просочились бывшим Агентство национальной безопасности (NSA) субподрядчика Сноуден сказал разведывательное агентство США удалось расшифровать обширные участки зашифрованного трафика Интернета. Среди других способов, The New York Times, Pro Publica, и The Guardian сообщила в сентябре, АНБ и его британских технологий шифрования аналог поражение от работы с чипов для вставки бэкдоров, или криптографические слабости, в своих продуктах.

Разоблачения оказывают непосредственное влияние на пути FreeBSD будет использовать генераторы случайных чисел аппаратных средств на основе семян данных, используемые для обеспечения криптографических системы не могут быть легко нарушены противниками. В частности, "RDRAND" а также "Замок"-RNGs предоставляемого Intel и Via, соответственно, больше не будет являться источником FreeBSD использует для непосредственной подачи случайных чисел в / Dev / случайный двигатель используется для генерации случайных данных в Unix операционных систем на основе. Вместо этого можно будет использовать псевдослучайный выход RDRAND и Замок семена / DEV / случайный только после того, как он прошел через отдельный алгоритм ГСЧА известный как "Тысячелистник." Тысячелистник, в свою очередь, добавит дополнительную энтропию данных для обеспечения умышленных бэкдоров, или незакрытой слабости, в аппаратных генераторах не может быть использован противниками, чтобы предсказать их выход.

"Для 10, мы будем возвращаться назад и удалить RDRAND и PADLOCK движки и кормить их в Ярроу вместо того, чтобы поставлять свою продукцию непосредственно в / DEV / случайное," сказали разработчики FreeBSD. "Он по-прежнему можно будет получить доступ к аппаратным генераторам случайных чисел, то есть, RDRAND, Навесной замок и т.д., непосредственно в линии сборки или с помощью OpenSSL из пространства пользователя, в случае необходимости, но мы не можем доверять им больше."

В отдельных минутах встречи, разработчики специально вызывается имя Сноуден при обсуждении изменений.

"Эдвард Сноудон [так в оригинале] - с. Высокая вероятность бэкдоров в некоторых (HW) ГСЧ," примечания читать, ссылаясь на аппаратный ГСЧ. Затем, намекая на двойной EC_DRBG ГСЧ кованой Национальным институтом стандартов и технологий, и сказал содержать NSA спроектированный лазейку, ноты следующим образом: "В том числе эллиптической кривой генератор включен в NIST. rdrand в ivbridge не реализован Intel ... Не могу доверять HW ГСЧ для обеспечения хорошей энтропии непосредственно. (Rdrand реализован в микрокод. Intel добавит опкод, чтобы перейти непосредственно к HW). Это означает частичную Revert некоторых работ по rdrand и висячий замок."

ГСЧ один из наиболее важных компонентов в любой защищенной криптографической системе. Они сродни кости шейкеры, используемых в настольных играх, которые обеспечивают полный диапазон хаотичности содержится в каждом рулоне. Если противники могут уменьшить количество энтропии ГСЧ производит или изобрести способ предсказать часть своей продукции, они часто могут разработать способы взломать ключи, необходимых для расшифровки в противном случае нечитаемого сообщения. Слабость в / Dev / случайном двигателя найден в Android операционной системе Google, например, была первопричина критического эксплойт, который недавно позволили ворам воровать биткойны из электронного кошелька пользователя. RDRAND является источником случайных данных, предоставленных Ivy Bridge и более поздними версиями процессоров Intel. Семена Навесные случайные данные в микросхемах сделаны Via.

В то время как разработчики FreeBSD обсуждают изменения привели утверждение о бэкдорах, поднятых в документах просочились по Сноуден, этот шаг был бы хорошей идеей, даже если эти недостатки не всплыли. Добавление дополнительных источников хаотичности к RDRAND, Навесной замок, и другие ГСЧ не приведет к уменьшению их энтропии и может сделать ключи они помогают генерировать труднее взломать. Опираясь на многочисленных источниках случайности является хорошей практикой, и, возможно, мог бы помочь предотвратить недавно обнаруженные пагубные слабые места в надежной цифровой системе ID Тайваня.