Jason A Donenfeld, may-akda ng VPN WireGuard ipinaalam ito ilang araw na nakalipas ng isang bagong pagpapatupad na-update mula sa isang RDRAND random number generator, na responsable para sa pagpapatakbo ng / dev / random at / dev / urandom device sa Linux kernel.
Sa katapusan ng Nobyembre, si Jason ay kasama sa listahan ng mga nagpapanatili ng random na controller at ngayon ay nai-publish na ang mga unang resulta ng kanyang reworking work.
Nabanggit sa anunsyo na namumukod-tangi ang bagong pagpapatupad ang paglipat sa paggamit ng BLAKE2s hash function sa halip na SHA1 para sa mga operasyon ng paghahalo ng entropy.
Ang BLAKE2s mismo ay may magandang katangian ng pagiging panloob batay sa
ChaCha permutation, na ginagamit na ng RNG para sa pagpapalawak, kaya
dapat walang problema sa pagiging bago, pagka-orihinal o kamangha-manghang CPU
pag-uugali dahil ito ay batay sa isang bagay na ginagamit na.
Sa karagdagan, ito ay nabanggit na ang pagbabago pinahusay din ang seguridad ng pseudo-random number generator sa pamamagitan ng pag-alis sa mahirap na SHA1 algorithm at pag-iwas sa pag-overwrite sa RNG initialization vector. Dahil ang BLAKE2s algorithm ay nauuna sa SHA1 sa pagganap, ang paggamit nito ay nagkaroon din ng positibong epekto sa pagganap ng pseudo-random number generator (mga pagsubok sa isang system na may Intel i7-11850H processor ay nagpakita ng 131% na pagtaas sa bilis). ) .
Ang isa pang kalamangan na kapansin-pansin ay ang paglilipat ng entropy mixture sa BLAKE2 ay ang pagkakaisa ng mga algorithm na ginamit: Ang BLAKE2 ay ginagamit sa ChaCha encryption, na ginagamit na upang kunin ang mga random na pagkakasunud-sunod.
Ang mga BLAKE2 ay karaniwang mas mabilis at tiyak na mas ligtas, Ito ay talagang napakasira. Bukod sa Ang kasalukuyang build sa RNG ay hindi gumagamit ng buong SHA1 function, bilang tumutukoy, at nagbibigay-daan sa pag-overwrite ng IV gamit ang RDRAND output kaya hindi dokumentado, kahit na ang RDRAND ay hindi na-configure bilang "pinagkakatiwalaan", na na nangangahulugang posibleng malisyosong mga opsyon sa IV.
At ang ibig sabihin ng maikling haba nito upang panatilihing kalahating lihim lamang kapag nagpapakain pabalik sa panghalo nagbibigay lamang ito sa amin ng 2^80 bits ng forward secrecy. Sa madaling salita, hindi lang ang pagpili ng hash function ay hindi napapanahon ngunit ang paggamit nito ay hindi rin talaga maganda.
Gayundin, ang mga pagpapabuti ay ginawa sa crypto-secure CRNG pseudo-random number generator na ginamit sa getrandom na tawag.
Nabanggit din yan ang mga pagpapabuti ay nababawasan sa paglilimita sa tawag sa RDRAND generator mabagal kapag kumukuha ng entropy, na maaaring mapabuti ang pagganap sa pamamagitan ng isang kadahilanan ng 3,7. Ipinakita ni Jason na ang tawag sa RDRAND Makatuwiran lamang ito sa isang sitwasyon kung saan hindi pa ganap na nasimulan ang CRNG, ngunit kung kumpleto na ang pagsisimula ng CRNG, hindi makakaapekto ang halaga nito sa kalidad ng nabuong stream at sa kasong ito, posible itong gawin nang hindi tumatawag sa RDRAND.
Ang pangakong ito ay naglalayong lutasin ang dalawang problemang ito at, sa parehong oras, panatilihin ang pangkalahatang istruktura at semantika na mas malapit hangga't maaari sa orihinal.
Partikular:a) Sa halip na i-overwrite ang IV hash sa RDRAND, inilagay namin sa BLAKE2 na dokumentadong "asin" at "personal" na mga patlang, na partikular na nilikha para sa ganitong uri ng paggamit.
b) Dahil ibinabalik ng function na ito ang resulta ng kumpletong hash sa kolektor ng entropy, ibinabalik lamang namin ang kalahati ng haba ng hash, tulad ng ginawa noon. Pinapataas nito ang construction advance secret ng 2 ^ 80 a 2 ^ 128 mas komportable.
c) Sa halip na gamitin lamang ang hilaw na function na "sha1_transform", sa halip ay ginagamit namin ang buo at wastong BLAKE2s function, na may pagkumpleto.
Ang mga pagbabago ay naka-iskedyul para sa pagsasama sa kernel 5.17 at nasuri na ng mga developer na si Ted Ts'o (ang pangalawang responsable sa pagpapanatili ng random na controller), Greg Kroah-Hartman (responsable sa pagpapanatiling stable ng Linux kernel) at Jean-Philippe Aumasson (may-akda ng BLAKE2 algorithms /3).
Panghuli, kung interesado kang malaman ang higit pa tungkol dito, maaari mong konsultahin ang mga detalye sa sumusunod na link.