Jason A Donenfeld, auteur van VPN WireGuard maakte het bekend een paar dagen geleden een nieuwe implementatie update van een RDRAND random number generator, dat verantwoordelijk is voor de werking van de apparaten /dev/random en /dev/urandom in de Linux-kernel.
Eind november werd Jason vermeld als onderhouder van de willekeurige controller en heeft hij nu de eerste resultaten van zijn nabewerking gepubliceerd.
In de aankondiging wordt vermeld dat de nieuwe implementatie opvalt de verandering naar het gebruik van de hashfunctie van BLAKE2s in plaats van SHA1 voor entropiemengoperaties.
BLAKE2s zelf heeft de mooie eigenschap intern gebaseerd te zijn op de
ChaCha-permutatie, die de RNG al gebruikt voor uitbreiding, dus
er zou geen probleem moeten zijn met nieuwheid, originaliteit of geweldige CPU
gedrag, omdat het gebaseerd is op iets dat al in gebruik is.
Daarnaast wordt benadrukt dat de verandering verbeterde ook de beveiliging van de generator voor pseudotoevalsgetallen door het lastige SHA1-algoritme te verwijderen en te voorkomen dat de RNG-initialisatievector wordt overschreven. Aangezien het BLAKE2s-algoritme qua prestaties voorloopt op SHA1, had het gebruik ervan ook een positief effect op de prestaties van de generator van pseudo-willekeurige getallen (testen op een systeem met een Intel i7-11850H-processor lieten een snelheidstoename van 131% zien).
Een ander voordeel dat opvalt, is het overbrengen van het entropiemengsel naar BLAKE2 het is de unificatie van de gebruikte algoritmen: BLAKE2 wordt gebruikt in de ChaCha-codering, die al wordt gebruikt om willekeurige reeksen te extraheren.
BLAKE2s is over het algemeen sneller en zeker veiliger, het is echt heel erg kapot gegaan. Naast de huidige build in de RNG maakt geen gebruik van de volledige SHA1-functie, zoals specificeert, en staat toe dat de IV op een bepaalde manier wordt overschreven met de RDRAND-uitvoer ongedocumenteerd, zelfs als RDRAND niet is ingesteld op "vertrouwd", het wat mogelijke kwaadaardige IV-opties betekent.
En zijn korte lengte betekent Bewaar dan slechts een half geheim wanneer het wordt teruggevoerd naar de mixer geeft ons slechts 2 ^ 80 bits voorwaartse geheimhouding. Met andere woorden, niet zomaar de keuze van de hashfunctie is achterhaald, maar het gebruik ervan is ook niet echt goed.
Daarnaast zijn er verbeteringen aangebracht aan de crypto-beveiligde CRNG pseudowillekeurige nummergenerator die wordt gebruikt in de getrandom-oproep.
Dat wordt ook genoemd verbeteringen komen neer op het beperken van de aanroep naar de RDRAND-generator traag in het extraheren van entropie, wat kan de prestaties met een factor 3,7 verbeteren. Jason demonstreerde dat de oproep naar RDRAND Het heeft alleen zin in een situatie waarin de CRNG nog niet volledig is geïnitialiseerd, maar als de CRNG-initialisatie is voltooid, heeft de waarde geen invloed op de kwaliteit van de gegenereerde stream, en in dit geval is het mogelijk om dit te doen zonder RDRAND aan te roepen.
Deze toezegging heeft tot doel deze twee problemen op te lossen en tegelijkertijd de algemene structuur en semantiek zo dicht mogelijk bij het origineel.
Specifiek:a) In plaats van de IV-hash te overschrijven met RDRAND, wordt it we hebben de door BLAKE2 gedocumenteerde "zout" en "persoonlijke" velden ingevoerd, die zijn speciaal gemaakt voor dit soort gebruik.
b) Aangezien deze functie het resultaat van de volledige hash teruggeeft aan de entropiecollector, retourneren we slechts de helft van de lengte van de hasj, net zoals het vroeger werd gedaan. Dit verhoogt de geheime bouwdoorbraak van 2^80 naar 2 ^ 128 veel comfortabeler.
c) In plaats van alleen de onbewerkte functie "sha1_transform" te gebruiken, in plaats daarvan gebruiken we de volledige en juiste BLAKE2s-functie, met voltooiing.
Er zijn wijzigingen gepland voor opname in kernel 5.17 en zijn al beoordeeld door ontwikkelaars Ted Ts'o (de tweede beheerder van de willekeurige driver), Greg Kroah-Hartman (verantwoordelijk voor het stabiel houden van de Linux-kernel) en Jean-Philippe Aumasson (auteur van de BLAKE2/3-algoritmen).
Tot slot, als u geïnteresseerd bent om er meer over te weten, kunt u de details raadplegen in de volgende link.