The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выявлена проблема с генерацией предсказуемых случайных чисел на процессорах MIPS

09.09.2013 23:10

Обсуждая порочность предложения инженеров из компании Intel об использовании в качестве энтропии для генератора случайных чисел ядра Linux только инструкции RDRAND, Theodore Ts'o обнаружил существенную проблему в безопасности, проявляющуюся на процессорах с архитектурой MIPS. Энтропия для многих генераторов псевдослучайных чисел формируется с использованием вызова get_cycles(), который на деле не работает для систем MIPS и вместо числа отработанных циклов CPU всегда возвращает ноль. Таким образом, на системах MIPS, используемых во многих беспроводных маршрутизаторах, генератор псевдослучайных чисел выдаёт потенциально предсказуемые значения, что в свою очередь приводит к генерации предсказуемых ключей шифрования.

  1. Главная ссылка к новости (https://lists.openwrt.org/pipe...)
  2. OpenNews: В Cryptocat найдена серьёзная уязвимость, позволяющая получить доступ к зашифрованным сообщениям
  3. OpenNews: Представлена новая криптографическая библиотека Sodium
  4. OpenNews: Полпроцента используемых в Web ключей RSA испытывают проблемы с безопасностью
  5. OpenNews: Во FreeBSD устранена уязвимость в генераторе случайных чисел
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/37869-security
Ключевые слова: security, mips, random
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:39, 09/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Не надо использовать "многих генераторов псевдослучайных чисел" - используйте один проверенный.
     
     
     
    Часть нити удалена модератором

  • 3.10, pkunk (ok), 00:28, 10/09/2013 [ответить]  
  • +/
    http://www.zazzle.com/14_is_a_random_number_t_shirts-235046315951603929
     
  • 2.11, pkunk (ok), 00:31, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    http://dilbert.com/strips/comic/2001-10-25/
     
  • 2.24, AnonuS (?), 01:39, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Таким образом, на системах MIPS, используемых во многих беспроводных маршрутизаторах, выдаются заведомо предсказуемые случайные числа, что в свою очередь приводит к генерации предсказуемых ключей шифрования.

    На КикСтартере начат сбор средств на производство "Вангователя" для систем MIPS. Разработчики "Вангователя", не имеющего аналогов в мире, и кстати основанного на последних достижениях нанотехнологий, обещают 99,99 процентную вероятность и распределение имени Гаусса. Вносите деньги господа !

     
     
  • 3.25, AnonuS (?), 01:50, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Из описания "Вангователя":

    "Однако не следует думать, что здесь какое-либо колдовство или чудеса. Ничего подобного, ибо чудес не существует. Все построено исключительно на силах природы с разрешения месткома и культурно-просветительной комиссии и представляет собою виталлопатию на основе гипнотизма по учению индийских факиров, угнетенных английским империализмом."(С)

     
  • 2.36, Аноним (-), 12:53, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > используйте один проверенный.

    Это какой? Одобренный АНБ? Как-то так?

    int random()
    {
    return 4; //chosen by fair dice roll - guaranteed to be random
    }

     

  • 1.2, Аноним (-), 23:46, 09/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ха! Вот вам и закладка от АНБ. Хорошо, что обнаружили. А сколько их ещё осталось...?
     
     
  • 2.33, Mna (??), 08:33, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Осталось ≈ (∞-1)
    подпись: ♘☃ (snowman on white horse)
     
  • 2.37, Аноним (-), 12:56, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Попыткой всучить закладку  от АНБ смотрится:

    > только инструкции RDRAND

    ... а потом окажется что не такой уж он и RAND - и вот это будет весело.

     
     
  • 3.41, Crazy Alex (ok), 13:34, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, вот на это больше шансов. А баги - они были, есть и будут.
     
     
  • 4.44, Аноним (-), 17:14, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Угу, вот на это больше шансов. А баги - они были, есть и будут.

    Да как делать нефиг - засунуть PRNG, например, и выдавать его вывод. Без знания алгоритма качественный PRNG вполне сойдет за "рандом".

     
     
  • 5.45, arisu (ok), 17:23, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    без знания алгоритма этот PRNG — плохой. а проанализировать его всё равно можно, просто открытый менее трудозатратно.
     

  • 1.3, sfstudio (ok), 23:54, 09/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    И не тлько в MIPS, почти половины поддерживаемых архитектур в timex.h функция выглядит так:
    static inline cycles_t get_cycles (void)
    {
            return 0;
    }
     
     
  • 2.5, platon (?), 00:14, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    как временное решение - возвращать там jiffies
     
     
  • 3.13, pavlinux (ok), 00:41, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > как временное решение - возвращать там jiffies

    Ещо один криптограф!  

    jiffies ^ jiffies будет 0, а то точно пи....ц! :)


     
     
  • 4.32, хрюкотающий зелюк (?), 08:26, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    ok, jiffies + n, где n каждое обращение прибавляется из некоей таблицы с нормальным распределением, которая сформирована при включении устройства на основании системного времени - достаточно случайно? и это в добавок к srand от системного времени
     

  • 1.6, pavlinux (ok), 00:14, 10/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Блин, переводчика надо покромсать на маленьких тузиков Да и Тцо тоже, чтоб шу... большой текст свёрнут, показать
     
     
  • 2.34, Аноним (-), 09:07, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Без get_cycles() знтропия на MIPS получается зависима только от времени, т.е. вполне предсказуема за разумное число попыток перебора. Время загрузки известно, прошивка и условия загрузки неизменны, поэтому становятся применимы соответствующие техники атаки.
     
  • 2.38, Аноним (-), 12:58, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Вращения с семью побайтными XOR это необратимая ж...а.

    Проблема нерандомного рандома даже не в необратимости а в возможности предсказать каким он был. Дебианщики на этом разочек очень больно налетели, когда оказалось что любой желающий может сгенерить привкей "пряом как у Васи с его Дебианом" просто ... просто угадав хреновый "рандом".

     

  • 1.8, Аноним (-), 00:24, 10/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вот это порадовало:

    > Sure, I could imagine an option where the user specifies random.i_trust_the_intel_RDAND_hasnt_been_teampered_by_the_nsa=1 on the boot command line which routes RDRAND directly into /dev/random, where we blindly trust that RDRAND has full, completely trusted entropy.

     
     
  • 2.9, pavlinux (ok), 00:26, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > ... by_the_nsa=1

    Массовая шиза от NSA  

     
     
  • 3.16, ананим (?), 00:55, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не шиза, а паранойя.
    И да, паранойя не смертельна. В отличие от недостатка контрацепции.

    Зыж
    Цитату Дольфа Лунгрена приводить?

     
     
  • 4.39, Аноним (-), 12:59, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не шиза, а паранойя.

    При том паранойя - профессиональное заболевание криптографов. Если криптограф не параноик - гнать его взашей, сс@нами тряпками и ср@ной метлой. В криптографии не бывает мелочей. А криптография второго сорта - это тухлятина.

     
     
  • 5.47, ананим (?), 09:58, 11/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >При том паранойя - профессиональное заболевание криптографов.

    Скорее всё же это его проф. обязанности.
    Поэтому легко спутать.

     
  • 2.22, ананим (?), 01:07, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Sure, I could imagine an option where the user specifies random.i_trust_the_intel_RDAND_hasnt_been_teampered_by_the_nsa=1 on the boot command line which routes RDRAND directly into /dev/random, where we blindly trust that RDRAND has full, completely trusted entropy.

    В мемориз адназначна.

     

  • 1.35, Нанобот (ok), 10:00, 10/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    давайте лучше параноиков тролить, например так: "Theodore Ts'o обнаружил закладку АНБ во всех mips-роутерах мира"
     
     
  • 2.40, Аноним (-), 13:01, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > давайте лучше параноиков тролить,

    У тебя мозг хиловат будет чтобы криптографов затроллить. Ты с твоим IQ можешь затроллить как максимум амеб в пробирке. Если сильно повезет - дождевых червяков. И то не факт.

     
     
  • 3.42, Нанобот (ok), 16:47, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    зато местных оналитегов - аж бигом
     
     
  • 4.46, Аноним (-), 18:16, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Молодец какой, сам себя затролил :)
     
  • 2.43, anonymous (??), 16:55, 10/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > закладку АНБ во
    > всех mips-роутерах мира"

    Есть мнение, что так оно и есть.

     

  • 1.48, Проходил мимо (?), 17:39, 11/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ХоулиШиит.
    Заглянул в исходники паршивки своего домашнего древнего SOHO routera MIPS(ADP), и там такого нет - там эсть код.


    З.Ы.
    Скачал потому как обновлений прошивок уже не будет, а подправить кое-чего нужно было, там даже всё с тулчейном и инструкции есть.

     
     
  • 2.49, Andrey Mitrofanov (?), 20:11, 11/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > З.Ы.
    > Скачал потому как

    Не надо стесняться! Тут тебя Понимают. </:-P>

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру