Jason A Donenfeld, a VPN WireGuard szerzője tudtára adta néhány napja egy új megvalósítás RDRAND véletlenszám-generátorból frissítve, amely a / dev / random és / dev / urandom eszközök működéséért felelős a Linux kernelben.
Jason november végén felkerült a random controller fenntartói közé, és most publikálta átdolgozó munkájának első eredményeit.
A közleményben szerepel, hogy az új megvalósítás kiemelkedik váltás a BLAKE2s hash funkciójának használatára az SHA1 helyett entrópia keverési műveletekhez.
Magának a BLAKE2-nek megvan az a jó tulajdonsága, hogy belsőleg a
ChaCha permutáció, amelyet az RNG már használ a bővítéshez, így
nem lehet probléma az újdonsággal, az eredetiséggel vagy a csodálatos CPU-val
viselkedést, mivel az olyan valamin alapul, ami már használatban van.
Ezen kívül kiemelik, hogy a változás az álvéletlenszám-generátor biztonságát is javította megszabadulni a problémás SHA1 algoritmustól és elkerülni az RNG inicializálási vektor felülírását. Mivel a BLAKE2s algoritmus teljesítményben megelőzi az SHA1-et, használata az álvéletlenszám-generátor teljesítményére is pozitív hatással volt (az Intel i7-11850H processzorral rendelkező rendszeren végzett tesztek 131%-os sebességnövekedést mutattak).
Egy másik előny, amely kiemelkedik az entrópia keverék átvitele a BLAKE2-be az alkalmazott algoritmusok egyesítése: a BLAKE2-t a ChaCha titkosításban használják, amelyet már véletlenszerű sorozatok kinyerésére használnak.
A BLAKE2 általában gyorsabb és minden bizonnyal biztonságosabb, tényleg nagyon összetört. Mellett Az RNG jelenlegi buildje nem használja a teljes SHA1 függvényt, mint pl meghatározza, és lehetővé teszi az IV felülírását az RDRAND kimenettel úgy nincs dokumentálva, még ha az RDRAND nincs is „megbízhatóként” beállítva, akkor is ami lehetséges rosszindulatú IV opciókat jelent.
A rövid hossza pedig azt jelenti hogy csak fél titkot őrizzen meg a keverőbe való visszatápláláskor csak 2^80 bit előremenő titkot ad nekünk. Más szóval nem csak a hash függvény választása elavult, de a használata sem igazán jó.
Ezen túlmenően a getrandom hívásban használt kripto-biztonságos CRNG pszeudo-véletlenszám-generátor továbbfejlesztésre került.
Azt is megemlítik a fejlesztések az RDRAND generátor hívásának korlátozására korlátozódnak lassú az entrópia kinyerésekor, ami 3,7-szeresére javíthatja a teljesítményt. Jason bebizonyította, hogy a hívás RDRAND Ennek csak abban az esetben van értelme, ha a CRNG még nincs teljesen inicializálva, de ha a CRNG inicializálása befejeződött, akkor annak értéke nem befolyásolja a generált folyam minőségét, és ebben az esetben az RDRAND hívása nélkül is megtehető.
Ennek az elkötelezettségnek a célja e két probléma megoldása és egyben a fenntartása általános szerkezete és szemantikája a lehető legközelebb áll az eredetihez.
Kimondottan:a) Ahelyett, hogy a hash IV-et RDRAND-dal felülírná, megteszi betesszük a BLAKE2 dokumentált "só" és "személyes" mezőket, amelyek kifejezetten ilyen jellegű felhasználásra készült.
b) Mivel ez a függvény a teljes hash eredményét adja vissza a entrópiagyűjtő, csak a hosszának felét adjuk vissza hash, mint korábban. Ez növeli a építési előleg titka 2 ^ 80 a 2 ^ 128 sokkal kényelmesebb.
c) A nyers "sha1_transform" függvény használata helyett, ehelyett a teljes és megfelelő BLAKE2s függvényt használjuk, kiegészítéssel.
A változtatások a tervek szerint az 5.17-es kernelbe kerülnek és már áttekintették Ted Ts'o (a véletlenszerű vezérlő karbantartásáért felelős második), Greg Kroah-Hartman (a Linux kernel stabilitásáért felelős) és Jean-Philippe Aumasson (a BLAKE2 algoritmusok szerzője /3) fejlesztők.
Végül, ha többet szeretne megtudni róla, tájékozódhat a részletekről a következő link.