Jason A Donenfeld, penulis VPN WireGuard membuatnya dikenal beberapa hari yang lalu implementasi baru diperbarui dari generator nomor acak RDRAND, yang bertanggung jawab atas perangkat /dev/random dan /dev/urandom di kernel Linux.
Pada akhir November, Jason terdaftar sebagai pengelola pengontrol acak dan sekarang telah memposting hasil pertama dari pekerjaan ulangnya.
Disebutkan dalam pengumuman bahwa implementasi baru ini penting untuk beralih untuk menggunakan fungsi hash BLAKE2s alih-alih SHA1 untuk operasi pencampuran entropi.
BLAKE2s sendiri memiliki properti bagus yang didasarkan secara internal pada
Permutasi ChaCha, yang sudah digunakan RNG untuk ekspansi, jadi
seharusnya tidak ada masalah dengan kebaruan, orisinalitas, atau CPU yang luar biasa
perilaku, karena didasarkan pada sesuatu yang sudah digunakan.
Selain itu, dicatat bahwa perubahan juga meningkatkan keamanan generator nomor pseudorandom dengan menyingkirkan algoritma SHA1 yang merepotkan dan menghindari penimpaan vektor inisialisasi RNG. Karena algoritme BLAKE2 lebih unggul daripada SHA1, penggunaannya juga memiliki efek positif pada kinerja generator angka pseudo-acak (pengujian pada sistem dengan prosesor Intel i7-11850H menunjukkan peningkatan kecepatan 131%). ) .
Keuntungan lain yang menonjol adalah mentransfer campuran entropi ke BLAKE2 adalah penyatuan algoritma yang digunakan: BLAKE2 digunakan dalam sandi ChaCha, yang sudah digunakan untuk mengekstrak urutan acak.
BLAKE2s umumnya lebih cepat dan tentu saja lebih aman, Ini benar-benar sangat rusak. Disamping build saat ini di RNG tidak menggunakan fungsi SHA1 penuh, karena menentukan, dan memungkinkan Anda untuk menimpa IV dengan output RDRAND dengan cara tidak didokumentasikan, bahkan jika RDRAND tidak dikonfigurasi sebagai "tepercaya", yang yang berarti kemungkinan opsi IV berbahaya.
Dan panjang pendeknya berarti untuk menjaga hanya setengah rahasia saat mengumpan kembali ke mixer itu memberi kita hanya 2^80 bit kerahasiaan ke depan. Dengan kata lain, tidak hanya pilihan fungsi hash sudah usang, tetapi penggunaannya juga tidak terlalu bagus.
Selain itu, peningkatan telah dilakukan pada generator nomor pseudo-acak CRNG kripto-aman yang digunakan dalam panggilan getrandom.
Disebutkan juga bahwa perbaikan bermuara pada membatasi panggilan ke generator RDRAND lambat dalam mengekstraksi entropi, yang dapat meningkatkan kinerja dengan faktor 3,7. Jason menunjukkan bahwa panggilan ke RDRAND Masuk akal hanya dalam situasi di mana CRNG belum sepenuhnya diinisialisasi, tetapi jika inisialisasi CRNG selesai, nilainya tidak memengaruhi kualitas aliran yang dihasilkan, dan dalam hal ini, dimungkinkan untuk melakukannya tanpa memanggil RDRAND.
Kompromi ini bertujuan untuk memecahkan dua masalah ini dan, pada saat yang sama, mempertahankan struktur umum dan semantik sedekat mungkin dengan aslinya.
Secara khusus:a) Alih-alih menimpa hash IV dengan RDRAND, kami memasukkan bidang "garam" dan "pribadi" BLAKE2 yang terdokumentasi, yaitu dibuat khusus untuk jenis penggunaan ini.
b) Karena fungsi ini mengembalikan hasil hash lengkap ke kolektor entropi, kami hanya mengembalikan setengah panjangnya hash, seperti yang dilakukan sebelumnya. Ini meningkatkan membangun rahasia tingkat lanjut dari 2^80 menjadi 2^128 jauh lebih nyaman.
c) Alih-alih hanya menggunakan fungsi mentah "sha1_transform", alih-alih kami menggunakan fungsi BLAKE2 yang lengkap dan tepat, dengan penyelesaian.
Perubahan dijadwalkan untuk dimasukkan dalam kernel 5.17 dan telah ditinjau oleh pengembang Ted Ts'o (pengelola kedua driver acak), Greg Kroah-Hartman (bertanggung jawab untuk menjaga kestabilan kernel Linux), dan Jean-Philippe Aumasson (penulis algoritma BLAKE2 /3).
Terakhir, jika Anda tertarik untuk mengetahuinya lebih lanjut, Anda dapat berkonsultasi detailnya di link berikut.