제이슨 A. 도넨펠드, VPN WireGuard의 저자 그것을 알렸다 며칠 전 새로운 구현 난수 생성기 RDRAND에서 업데이트됨, Linux 커널에서 /dev/random 및 /dev/urandom 장치를 담당합니다.
XNUMX월 말에 Jason은 임의의 컨트롤러 유지 관리자로 등록되었으며 이제 재작업의 첫 번째 결과를 게시했습니다.
발표에서 새로운 구현이 주목할 만하다고 언급되어 있습니다. SHA2 대신 BLAKE1s 해시 함수를 사용하도록 전환 엔트로피 혼합 작업을 위해
BLAKE2s 자체에는 내부적으로 기반을 두는 좋은 속성이 있습니다.
RNG가 이미 확장에 사용하고 있는 ChaCha 순열이므로
참신함, 독창성 또는 놀라운 CPU에 문제가 없어야 합니다.
이미 사용 중인 것을 기반으로 하기 때문입니다.
또한 변경 사항에 유의하십시오. 의사 난수 생성기의 보안도 향상되었습니다. 번거로운 SHA1 알고리즘을 제거하고 RNG 초기화 벡터를 덮어쓰지 않도록 합니다. BLAKE2s 알고리즘은 성능면에서 SHA1보다 앞서 있기 때문에 이 알고리즘을 사용하면 의사 난수 생성기의 성능에도 긍정적인 영향을 미쳤습니다(Intel i7-11850H 프로세서가 있는 시스템에서 테스트한 결과 속도가 131% 향상됨). .
눈에 띄는 또 다른 장점은 엔트로피 혼합물을 BLAKE2로 옮기는 것입니다. 사용된 알고리즘의 통합입니다. BLAKE2는 임의의 시퀀스를 추출하는 데 이미 사용되는 ChaCha 암호에 사용됩니다.
BLAKE2s는 일반적으로 더 빠르고 확실히 더 안전합니다. 정말 많이 망가졌습니다. 게다가, RNG의 현재 빌드는 전체 SHA1 기능을 사용하지 않습니다. 특정 방식으로 RDRAND 출력으로 IV를 덮어쓸 수 있습니다. RDRAND가 "신뢰할 수 있음"으로 구성되지 않은 경우에도 문서화되지 않음 이는 가능한 악성 IV 옵션을 의미합니다.
그리고 그것의 짧은 길이는 믹서에 피드백할 때 절반만 비밀로 유지 2^80비트의 순방향 비밀만 제공합니다. 다시 말해서 뿐만 아니라 해시 함수의 선택은 구식이지만 그 사용도 실제로 좋지 않습니다..
또한 getrandom 호출에 사용되는 암호화 안전 CRNG 의사 난수 생성기가 개선되었습니다.
라고도 언급되어 있다 개선 사항은 RDRAND 생성기에 대한 호출을 제한하는 것으로 요약됩니다. 엔트로피 추출이 느리다. 성능을 3,7배 향상시킬 수 있습니다. Jason은 RDRAND에 대한 호출이 CRNG가 아직 완전히 초기화되지 않은 상황에서만 의미가 있지만 CRNG 초기화가 완료되면 해당 값이 생성된 스트림의 품질에 영향을 미치지 않으며 이 경우 호출하지 않고도 가능합니다. RDRAND.
이 타협은 이 두 가지 문제를 해결하는 동시에 가능한 한 원본에 가까운 일반적인 구조와 의미.
구체적으로 특별히:a) IV 해시를 RDRAND로 덮어쓰는 대신, 문서화된 BLAKE2 "소금" 및 "개인" 필드를 입력합니다. 이러한 유형의 사용을 위해 특별히 제작되었습니다.
b) 이 함수는 완전한 해시의 결과를 엔트로피 수집기, 우리는 길이의 절반만 반환합니다. 해시, 전에 했던 것처럼. 이것은 증가 2 ^ 80에서 사전 비밀 구축 2^128 훨씬 더 편안합니다.
c) 원시 "sha1_transform" 함수를 사용하는 대신, 대신 완성과 함께 완전하고 적절한 BLAKE2s 기능을 사용합니다.
커널 5.17에 변경 사항이 포함될 예정입니다. 그리고 개발자 Ted Ts'o(임의의 드라이버의 두 번째 유지 관리자), Greg Kroah-Hartman(Linux 커널을 안정적으로 유지하는 책임) 및 Jean-Philippe Aumasson(BLAKE2 알고리즘 /3 작성자)이 이미 검토했습니다.
마지막으로, 그것에 대해 더 알고 싶으시면 자세한 내용을 참조하십시오. 다음 링크.