Jaderné noviny – 13. 3. 2014: Hardwarové generátory náhodných čísel a bezpečnost

1. 4. 2014 | Luboš Doležel | Jaderné noviny | 4881×

Obsah

• Aktuální verze jádra: 3.14-rc6
• Statistiky cyklu 3.14
• Ředění náhodnosti
  • Přidání RDSEED
  • Míchání a ředění

Aktuální verze jádra: 3.14-rc6

Aktuální vývojová verze jádra je 3.14-rc6 vydaná 9. března. Linus k ní řekl: Neobjevily se žádné velké problémy, ale vynořilo se vcelku dost malých zádrhelů, které by tam v této fázi cyklu být neměly. Navíc je rc6 znatelně větší než rc5. Proto opravdu doufám, že příští týden bude klidnější, jinak budu uvažovat o rc8 nebo dokonce rc9.

Stabilní aktualizace: verze 3.13.6 a 3.10.33 byly vydány 6. března; verze 3.4.83 následovala 11. března.

Statistiky cyklu 3.14

Obvykle je v době vydání -rc6 konečná verze na dohled. Tentokrát ale Linus vyhrožuje nutností -rc8 nebo dokonce -rc9 kvůli množství zbývajících problémů. I kdyby bylo vydání konečné verze ještě daleko, situace kolem 3.14 by už měla být dostatečně stabilní na to, aby dávalo smysl se podívat na to, odkud přišly změny do tohoto vydání. Ve zkratce to lze popsat jako „nic nezvyklého“ spolu s pokračováním stávajících trendů.

V době psaní tohoto textu se vývojový cyklus dočkal něco přes 12 000 neslučovacích sad změn od přesně 1400 vývojářů. Tyto změny přidaly 591 000 řádek kódu a odstranily 250 000 řádek kódu, což dává čistý přírůstek 341 000 řádek kódu. Nejaktivnějšími vývojáři tentokrát byli:

Po krátké odmlce se H. Hartley Sweeten vrátil do žebříčku podle počtu změn díky další práci na opravách ovladačů Comedi ve stromu staging. Laurent Pinchart odvedl mnoho práce na Video4Linux a stromu architektury ARM, zatímco Jingoo Han pokračuje v pročišťování stromu ovladačů. Rashika Kheria přispěla řadou patchů pročišťujících ovladače a Geert Uytterhoeven odvedl mnoho práce na architektuře m68k a subsystémech embedded ovladačů.

Greg Kroah-Hartman se často objevuje vysoko v žebříčku podle počtu změněných řádek; tentokrát je to díky přidání ovladače Realtek 8821 PCI WiFi a nadstandardního počtu revertovaných patchů. Micky Ching přidal do stromu staging ovladače rts5208 a rts5288, Stephen Boyd přispěl podporou pro různý hardware od Qualcommu, Paul Gortmaker (mimo jiné) pročistil řadu hlavičkových souborů a Greg Rose přispěl síťovým ovladačem i40evf.

Vývoj jádra 3.14 podpořilo alespoň 210 zaměstnavatelů. Nejaktivnějšími byli:

Je tu jen málo překvapení; místo toho vidíme pokračování trendů, které pozorujeme už delší dobu. Po krátkém skoku ve verzi 3.13 množství příspěvků od dobrovolníků pokračuje v klesání. Vypadá to, že se Intel natrvalo usadil na vrcholu žebříčku podle počtu změn, kterými přispěl. Nadále roste objem příspěvků od výrobců z oblasti mobilních a embedded zařízení. Bylo by lákavé zvolat, že verze 3.14 bude obsahovat opravu v ovladači nouveau, která přišla přímo z NVIDIA, ale pravdou je, že to je už podruhé; první oprava byla potichu začleněna už do verze 3.9 počátkem roku 2013.

Trochu odlišné výsledky se objeví, když se podíváme na „signoffy“ od jiných lidí než autorů. Tyto tagy jsou přidány správci subsystémů při přijetí patche; tato statistika tedy může prozradit, přes koho jdou patche do jádra. Po přiřazení signoffů k zaměstnavatelům získáme tyto výsledky:

Koncentrace do několika málo firem už není taková, jak tomu bývalo, ale i tak více než polovina patchů začleněných do 3.14 prošla přes zaměstnance pouhých čtyř organizací. Linaro a Facebook se v tomto seznamu posunuli výše; v obou případech je to díky tomu, že přijali vývojáře, kteří už roli správců subsystému měli. I zde postupem času podíl připadající na vývojáře dobrovolníky pomalu klesá.

Suma sumárum, mašinérie vývoje jádra se zdá být v celkem ustáleném stavu, vše běží hladce a změny probíhají velmi pozvolna. Proto je otázkou, zda ještě dává smysl se statistikami zabývat po každém vydání, nebo zda by bylo lepší hodnotit až celý rok.

Ředění náhodnosti

Jedním z užitečnějších důsledků Snowdenových odhalení může být přísnější kontrola zabezpečení našich systémů. I když nikdo nemůže tvrdit, že všechny problémy byly nalezeny a opraveny, v řadě oblastí došlo za poslední rok ke zlepšení. Jednou z oblastí, která se v poslední době dočkala pozornosti, je generování náhodných čísel v jádře. Dva nedávné patche v tomto trendu pokračují, i když je těžké určit, zda jde o přímý dopad odhalení špehování NSA (a dalších rozvědek).

Oba patche mění stav „zdroje náhodnosti“ [entropy pool], který slouží ke generování náhodných čísel v /dev/random i /dev/urandom. Na tento zdroj se váže (konzervativní) odhad obsaženého množství entropie (neboli stavu, který nemůže útočník zjistit). Vše, u čeho se má za to, že opravdu přidává entropii, je v tomto odhadu zohledněno, zatímco jiné, dost možná útočníkem řízené vstupy jsou zkrátka přimíchány, aniž by došlo k úpravě odhadu. Odhad entropie se používá k blokování těch, kteří čtou /dev/random, pokud je požadovaný objem dat větší než množství entropie ve zdroji.

Přidání RDSEED

První patch je od H. Petera Anvina a přidává podporu instrukce RDSEED do jádra. RDSEED je instrukce přidaná do procesorů Intel, která vrací plně připravenou entropii vhodnou pro použití jako seed pro PRNG. Patche přimíchávají čtyři bajty z výstupu RDSEED do zdroje při bootu (bez započtení zvýšení entropie). Navíc jsou čtyři bajty generovány pomocí této instrukce jednou za sekundu a následně přimíchány do zdroje. Také se používá pro „nouzové naplnění“: 64 bajtů z RDSEED je vzato, pokud právě bude /dev/random blokovat kvůli nedostatku množství entropie. V obou posledních případech se jsou za každý bajt výstupu RDSEED připočteny čtyři bity do odhadu množství entropie.

Někteří jsou toho názoru, že by se za výstup black-boxu generujícího náhodná čísla v hloubi čipu od Intelu neměl odhad vůbec zvyšovat. Jde o těžkou otázku, jelikož tomu, aby instrukce vracela sekvence známé NSA, nestojí v cestě žádné technické překážky a nikdo (přinejměnším mimo Intel) si nemůže být jist tím, že tomu tak není. I když se to může zdát paranoidní, řada dříve paranoidních představ se během minulého roku přesunula do kategorie uvěřitelných. Tyto obavy ale nebyly vzneseny kvůli patchům RDSEED.

Míchání a ředění

Druhý zmiňovaný patch, tentokrát od Keesa Cooka, přidává výstup nově vytvořené instance hardwarového RNG do zdroje entropie. Při registraci RNG (přes hwrng_register()) je do výstupu přimícháno šestnáct bajtů jeho výstupu, ale bez navýšení údaje o množství entropie. Jason Cooper měl obavy, že i pouhé přimíchání těchto bajtů do zdroje by mohlo vést k problémům: Zařazením tohoto patche, i bez zvyšování množství entropie, získává zlotřilé hwrng mnohem větší vliv na počáteční stav zdrojů entropie.

Cookovi to ale nepřišlo odlišné od míchání jiných náhodných nebo na systému závislých údajů při bootu:

Určitě nechci být tím, kdo by oslaboval zdroj entropie. Ale myslím si, že se tento patch nijak neliší od jiných, které přidávájí do zdroje MAC adresu síťové karty – jde o to vzít něco z mého systému, co je jedinečné nebo náhodné, a podpořit tak seed entropie. Přišlo by mi hloupé, kdybych načetl modul hwrng-tpm a nemělo to vliv na můj systémový zdroj entropie.

Navíc se ozval Matt Mackall, bývalý správce subsystému pro generování náhodných čísel, s připomenutím důležité vlastnosti míchající funkce. Jelikož je tato funkce vratná, přimíchání dat řízených útočníkem do zdroje nikdy nevede k odstranění náhodnosti, která tam předtím byla:

To Coopera moc neuklidnilo, stále měl obavy z přimíchání výstupu hardwarových RNG zkraje bootu systému. Měl strach, že by tyto bajty otrávily zdroj, ale Mackall zopakoval svůj argument jinými slovy:

Ačkoliv měl Mackall o vratnosti (a jejích dopadech) míchací funkce jasno už při návrhu, vypadá to, že ostatní vývojáři o této vlastnosti nevěděli. Je to zajímavá vlasnost, která dává smysl, pokud o ní víte, ale jinak je to poněkud neintuitivní. V každém případě Cooper své námitky stáhl a správce hardwarových RNG Herbert Xu patch zařadil do fronty. Měli bychom jej spatřit ve verzi 3.15.

Nástroje: Tisk bez diskuse