Portál AbcLinuxu, 18. říjen 2017 22:46

Jaderné noviny – 8. 6. 2017: Čekání na entropii

6.7. | Redakce
Články - Jaderné noviny – 8. 6. 2017: Čekání na entropii  

Stav vydání jádra. Linux 4.1.40 je zranitelný CVE-2017-6074. Čekání na entropii.

Stav vydání jádra

Současné vývojové jádro je 4.12-rc4, vydané 4. června. Linus Torvalds je obvykle spokojen s tím, jak se věci mají: „Vše v cyklu 4.12 zůstává v klidu, i když ne až tak v klidu, jak to vypadalo začátkem týdne. Myslím, že dvě třetiny commitů přišly v pátek nebo o víkendu. Ale až na to načasování to vypadá vcelku normálně.“

Stabilní jádra: 4.11.4, 4.9.31, 4.4.71 a 3.18.56 vyšla 7. června.

Linux 4.1.40 je zranitelný CVE-2017-6074

Mark H. Weaver nám poslal upozornění, že stabilní vydání jádra s dlouhodobou podporou 4.1.40 je zranitelné CVE-2017-6074, což je lokální eskalace privilegií, která byla nahlášena už v únoru a v Linuxu se vyskytuje již přes deset let. Aktualizovaná verze od správce Sashi Levina byla očekávána brzy (vyšla 15. června).

Čekání na entropii

Mnoho bajtů bylo v průběhu let vynaloženo na diskuze o kvalitách jaderného subsystému pro generování náhodných čísel. Jedna z nejčastěji se opakujících obav se týká systémů, které nemohou během procesu zavádění získat dostatečnou entropii, aby uspokojily požadavky na náhodnost dat. Nejnovější diskuze na toto téma začala poněkud ostře, ale může vést k postupnému zlepšení této oblasti.

Jason Donenfeld začal vlákno stížností, že /dev/urandom při čtení z uživatelského prostoru vrátí data i v případě, kdy vnitřní jaderný zásobník entropie (entropy pool) nebyl ještě patřičně zaplněn. V takovém případě je teoreticky možné, že útočník bude předpovídat ony ne-až-tak-náhodné údaje, které budou vráceny. Donenfeld tvrdil, že /dev/urandom by mělo prostě blokovat, dokud není zásobník entropie připraven, a odmítl zdůvodnění stávajícího chování: „Ano, ano, máte argumenty, proč to udržujete v patologickém stavu, ale stále se pletete a toto API je stále chyba.“

Chyba, nebo ne, jak upozornil Ted Ts'o, blokování /dev/random způsobuje, že distribuce jako Ubuntu nebo OpenWrt nenaběhnou. Tento druh chování se obvykle nazývá „regresí“ a regrese tohoto typu obvykle nejsou přípustné. Takže /dev/urandom si ponechá své současné chování. Ale tohle není myšlenka, kterou se Donenfeld původně snažil sdělit. Skutečný problém je, jak se ukázalo, získávání náhodných dat z jádra místo z uživatelského prostoru. To se dá udělat voláním:

void get_random_bytes(void *buf, int nbytes);

Tato funkce umístí nbytes bajtů náhodných dat do vyrovnávací paměti označené buf a stane se tak bez ohledu na to, zda je zásobník entropie zcela připraven. Takže opět je možné získat data, která nejsou opravdu náhodná. Vzhledem k tomu, že tato funkce je volána zevnitř jádra, mohou se tato volání uskutečnit brzy v procesu zavádění systému, takže riziko, že se setkáte s nedostatečnou entropií, je poměrně vysoké.

Tento problém samozřejmě není v komunitě jaderných vývojářů nový. V roce 2015 navrhl Stephan Mueller doplnění verze get_random_bytes(), která by blokovala, dokud nebude zásobník entropie připraven, bude-li to nutné. Tento nápad se ale dostal do problémů, když Herbert Xu poukázal, že to může vést k uváznutí (deadlock) – tedy typu náhodných událostí, které nebývají žádoucí. Místo toho tedy vzniklo rozhraní pro zpětné volání. Jaderný kód, který se chce ujistit, že dostává dobrá náhodná data, začíná vytvořením funkce zpětného volání a umístěním ukazatele na tuto funkci do struktury random_ready_callback:

struct random_ready_callback {
    struct list_head list;
    void (*func)(struct random_ready_callback *rdy);
    struct module *owner;
};

Tato struktura je poté předána funkci add_random_ready_callback():

int add_random_ready_callback(struct random_ready_callback *rdy);

Když je subsystém náhodných čísel připraven, zavolá se předaná funkce zpětného volání. Přidáním další struktury (pravděpodobně pomocí dokončení), může volající kód vytvořit něco, co vypadá jako synchronní funkce pro získání náhodných dat.

Jak upozornil Donenfeld, toto rozhraní patří mezi těžkopádnější, s čímž může souviset skutečnost, že se v jádře volá jen na jednom místě. Navrhl, že by bylo smysluplné přidat synchronní rozhraní, které by se dalo použít aspoň v některých situacích, což by umožnilo opravit některá místa v jádře, u kterých hrozí použití nenáhodných dat. Ts'o souhlasil, že tento přístup by mohl dávat smysl:

Nebo možná pak pomůžeme zjistit, jaké procento zdrojů volání se dá opravit synchronním rozhraním, a opravit některé z nich prostě proto, abychom ukázali, že synchronní rozhraní opravdu funguje dobře.

Výsledkem byla řada patchů od Donenfelda, která přidala novou funkci:

int wait_for_random_bytes(bool is_interruptable, unsigned long timeout);

Jak může napovědět její název, wait_for_random_bytes() počká, až budou náhodná data dostupná. Je-li nastaven příznak if_interruptable, skončí funkce dříve (s chybovým kódem), pokud volající proces dostane signál. Parametr timeout jde použít k nastavení horní hranice na dobu, po kterou bude volání čekat. Ukázalo se ale, že tato funkce je poněkud navíc. Zejména Ts'o se o nápadu s časovou prodlevou vyjádřil skepticky, zeptal se: „Pokud používáte get_random_bytes() z bezpečnostních důvodů, zmizí příslušný bezpečnostní problém po 15 sekundách?“ Třetí verze sady patchů všechny argumenty wait_for_random_bytes() odstranila, takže všechna čekání jsou přerušitelná bez prodlevy.

Řada patchů dále přidala skupinu život zpříjemňujících funkcí, které kombinují čekání a skutečné získávání náhodných dat, včetně:

static inline int get_random_bytes_wait(void *buf, int nbytes);

Většina připomínek k této skupině patchů se v tomto okamžiku týká celkem malých drobností. Takže je pravděpodobné, že se některá její verze časem dostane do jádra, čímž se snad sníží riziko, že jádro bude používat nedostatečně náhodná data. Je tu ale ještě jeden aspekt, který se zdá zcela deterministický: dohady ohledně kvality jaderného subsystému náhodných čísel nejsou zdaleka u konce. To je koneckonců problém s náhodnými čísly: nikdy si nemůžeme být jisti, že jsou skutečně náhodná.

Odkazy a zdroje

LWN.net
Waiting for entropy

Další články z této rubriky

Jaderné noviny – 28. 9. 2017: Poznámky z mikrokonference o trasování na LPC
Jaderné noviny – 21. 9. 2017: Zbytek začleňovacího okna 4.14
Jaderné noviny – 14. 9. 2017: První polovina začleňovacího okna 4.14
Jaderné noviny – 8. 9. 2017
Jaderné noviny – 31. 8. 2017: Statistiky vývojového cyklu 4.13

Diskuse k tomuto článku

6.7. 09:22 cronin | skóre: 48
Rozbalit Rozbalit vše Re: Jaderné noviny – 8. 6. 2017: Čekání na entropii
Odpovědět | Sbalit | Link | Blokovat | Admin
Nakoľko je ťažké/drahé/whatever implementovať hardvérový zdroj entropie? Ako píšu na wikipédii, nie je to až tak priamočiare, ako by sa mohlo zdať, na druhej strane by aspoň "serverové" dosky mohli implementovať aspoň generátor náhodnej seed hodnoty.
6.7. 09:48 Zopper | skóre: 14
Rozbalit Rozbalit vše Re: Jaderné noviny – 8. 6. 2017: Čekání na entropii
Intel takový generátor ve svých procesorech už nějakou dobu má (rdrand). Jenže tu jsou obavy, jestli v něm nejsou backdoory, jestli je opravdu tak náhodný, jak Intel tvrdí, atd. Ale existují různé externí krabičky, některé jsou i open-source/open-hardware, takže si můžeš vybrat, komu budeš věřit.
"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2
6.7. 10:52 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jaderné noviny – 8. 6. 2017: Čekání na entropii
Zase až tak drahé to není, ale z hlediska jádra je problém v tom, že pokud se nemůžete spolehnout, že HW generátor mají všichni (což nejspíš nenastane nikdy), musí být k dispozici alternativní řešení pro případ, že HW generátor k dispozici není. Navíc i HW generátor je schopen generovat data jen určitou rychlostí, takže by se stejně muselo počítat se situací, kdy je potřeba počkat na něj.
6.7. 10:54 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jaderné noviny – 8. 6. 2017: Čekání na entropii
A ještě pro úplnost: tady byla řeč o generování náhodných dat při bootu, takže stejně jako je potřeba řešit situaci, kdy softwarový generátor nemá ještě dost entropie, bylo by potřeba počítat s možností, že drivery potřebné pro čtení z hardwarového generátoru nejsou ještě inicializované.
6.7. 15:28 mimi.vx | skóre: 37 | blog: Mimi.VX | Praha
Rozbalit Rozbalit vše Re: Jaderné noviny – 8. 6. 2017: Čekání na entropii

Plus bonus je pokud startujete VM. Kde zdroju entropie je jeste mene

USE="-gnome -kde";turris
Heron avatar 12.7. 10:02 Heron | skóre: 51 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Jaderné noviny – 8. 6. 2017: Čekání na entropii
Si to můžeš zbastlit doma. Zenerka, transistor, hodil by se i opamp a je to. Nepodařilo se mi zprovoznit ten audio-entropyd, ale moc jsem si s tím nehrál, spíš jen zábava na půl odpoledne.

Taky je otázka, co brát jako náhodu - zda napětí při kterém se spustila lavina, nebo časy průchodu nulou - ty se dají detekovat snadněji.

Potom existují skutečné kvantové zdroje náhody (polopropustné zrcadlo jednotlivé fotony), ale to není na domácí bastlení a stejně se musí pořešit bias (žádné zrcadlo nemá přesně 50% odrazivost).
6.7. 10:32 Ivan
Rozbalit Rozbalit vše Re: Jaderné noviny – 8. 6. 2017: Čekání na entropii
Odpovědět | Sbalit | Link | Blokovat | Admin
Cekani na entropii je docela podpasovka. Dlouho jsem resil proc mi padaji konexe do Oracle databaze s chybou "connection reset", nakonec se ukazalo, ze JDBC driver ceka na nahodna data z /dev/random a protoze se nedokaze vcas autentizovat, databaze zavre TCP spojeni. Tyhle veci se dost blbe ladi, dokud neni server dostatecne zatizeny, tak se takovahle vec vubec neprojevi.
6.7. 10:40 tomo_tn
Rozbalit Rozbalit vše Re: Jaderné noviny – 8. 6. 2017: Čekání na entropii
Clovek by povedal, ze ked je server zatazeny tak bude entropie dost. Moje obecne povedomie je take ze do entropy-poolu prispieva z velkej miery aj IO aktivita. Preto ten problem pri boote IO operacii je malo a vsetky su (do isteho momentu)+- predvidatelne.
6.7. 14:39 roumen
Rozbalit Rozbalit vše Re: Jaderné noviny – 8. 6. 2017: Čekání na entropii
JDBC driver ceka na nahodna data z /dev/random
Tohle ale zni jako blby kod v JDBC driveru. Pokud opravdu potrebuji /dev/random (tj nestaci jim /dev/urandom), pak si autori meli byt jasne vedomi ze /dev/random je opravdu pomalej a zaridit se podle toho (minimalne nejake warningy na konzoli...)
12.7. 11:13 Ivan
Rozbalit Rozbalit vše Re: Jaderné noviny – 8. 6. 2017: Čekání na entropii
Na tom je prave zajimavy, ze to lze nastavit pouze na urovni cele JVM (-Djava.security.egd=file:///dev/urandom)

http://www.usn-it.de/index.php/2009/02/20/oracle-11g-jdbc-driver-hangs-blocked-by-devrandom-entropy-pool-empty/
12.7. 14:46 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Jaderné noviny – 8. 6. 2017: Čekání na entropii
Na -Djava.security.egd bacha!
Kdyz java zjisti, ze to prepinas na /dev/urandom, tak ti to potichu vrati. Zamaskovani pres /dev/./urandom mam vyzkousene, za ///dev/urandom bych ruku do ohne nedal.
7.7. 14:31 Leoš Literák | skóre: 74 | blog: LL | Praha
Rozbalit Rozbalit vše Re: Jaderné noviny – 8. 6. 2017: Čekání na entropii
Taky jsem zažil u zákazníka trapas, kdy sw na školení náhle přestal fungovat. Nakonec jsme zjistili, že volání SecureRandom na jedné verzi Linuxu spoléhá na /dev/random a to v blokujícím režimu. Nejsou data, sorráč, místo pár mikrosekund si počkáš půl minuty, než se nějaká vygenerují. V AWS se náhodná data z myši sbírají blbě.

SecureRandom na AWS
Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow
6.7. 16:12 pc2005 | skóre: 34 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Jaderné noviny – 8. 6. 2017: Čekání na entropii
Odpovědět | Sbalit | Link | Blokovat | Admin
Linus 4.1.40 je zranitelný CVE-2017-6074
Jsem čekal nějakej sociální engineering na Linuse a on to je jen překlep :-(.
Chuck Norris řekl babičce, že si dá jen 3 knedlíky. A dostal 3 knedlíky. | 帮帮我,我被锁在中国房

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.