10 lat głupoty FreeBSD? Twórca OpenBSD wyśmiał obawy przed sprzętowymi furtkami NSA

Spore zainteresowanie zarówno wśród ludzi zajmujących sięsystemami operacyjnymi, jak i ekspertów od bezpieczeństwa wywołaładeklaracja deweloperów FreeBSD, którzy ogłosili,że dziesiąta wersja ich OS-a nie będzie już ufała generatorom liczblosowych (RNG) wbudowanych w procesory Intela i VIA. Po aferze wokółdziałań NSA nie można już zagwarantować, że generatory te nie zostałyodpowiednio „zmodyfikowane”, tak by niepostrzeżenieosłabić stosowane dziś technologie kryptograficzne – więcFreeBSD 10 będzie dopuszczało dane z tych RNG tylko po przetworzeniuich przez specjalne algorytmy. Jako pierwszy zareagował na to Theo DeRaadt, legendarny twórca OpenBSD – systemu, którego leitmotivemjest bezpieczeństwo ponad wszystko.OpenBSD nie pójdzie w kwestii zaufania do sprzętowej kryptografiiw ślady FreeBSD, z jednego, ale bardzo prostego powodu. Zrobiło tojuż w 2003 roku, od tamtego czasu wprowadzając obsługę kolejnychelementów sprzętowych jako generatorów losowości, jednak nigdybezpośrednio. W 2012 roku w jądrze OpenBSD pojawiła się obsługaintelowego zestawu instrukcji rdrand, było to jednak po prostukolejne źródło entropii, obok takich źródeł jak ruchy myszy, I/Opamięci masowych czy opóźnienia między pakietami. Danymi tymi „karmi”się cały podsystem losowości, który po przetworzeniu ich zwracawyniki w pseudourządzeniu /dev/random.[img=openbsd]De Raadt wyjaśnia, że dla jego projektu intelowy RNG nie jest anidobry, ani zły – to po prostu kolejne źródło danych dlapodsystemu, który został zaprojektowany tak, by zagwarantować silnąlosowość na wyjściu i spełnia w tym wszystkie dobre praktyki, opisanew literaturze przez autorów takich jak jeden z głównych deweloperówLinuksa, Ted T'so. W ten sposób NSA może sobie majstrować przy RNGtyle, ile chce – równie dobrze mogłoby majstrować przymyszkach, tak by ich przesunięcia były bardziej przewidywalne. Ogłoszenie w 2013 roku, że system przestaje ufać sprzętowemu RNG,jest więc wg Theo de Raadta przyznaniem się do tego, że przez conajmniej dziesięć lat tkwiło się w błędzie. Przede wszystkim to 10lat głupoty FreeBSD. Oni niczego nie wiedzą o bezpieczeństwie.Ignorują wszelkie istotne dla dziedziny badania, nie tylko nasze, aleteż wszystkich innych –podkreśla twórca OpenBSD. Teraz zaś widzimy pochwały zaodejście od złej metody, niemal tak jakby było to jakąś innowacją –dodaje.Nie jest to jedyna kwestiabezpieczeństwa, w której FreeBSD pozostaje z tyłu. W ciągu tychdziesięciu lat głupoty w konkurencyjnym systemie z rodziny BSD,OpenBSD zdołało przeprowadzić na szeroką skalę zakrojone prace nadtechnikamiochrony systemów operacyjnych przed exploitami. Opracowanetechniki zostały wykorzystane w Windows, Linuksie i w pewnym stopniuw OS-ie X, tymczasem FreeBSD dopiero w wersji 10 wprowadzi niektóre zopisanych przez de Raadta rozwiązań – jednak domyślnie będą onewyłączone. Wielu naszych Czytelnikówinteresuje zapewne kwestia, jak sprzętowe RNG są traktowane przeznajpopularniejszy desktopowy system operacyjny – Windows. Tutrudno udzielić jednoznacznej odpowiedzi. Zbiór kryptograficznychbibliotek programistycznych Microsoftu zawiera funkcjęCryptGenRandom, będącąbezpiecznym generatorem liczb pseudolosowych. Jego stosowaniezalecane jest dla wszystkich aplikacji win32. Problem jednak w tym,że nie do końca wiadomo, jak on działa. Przedstawiono jedyniegeneralny zarys algorytmu, z którego wynikałoby, że jako źródłaentropii wykorzystywane są identyfikatory procesów i wątków, czas oduruchomienia sprzętu i czas aktualny, różne liczniki stanów systemuoraz wewnętrzne liczniki procesora. Microsoft otrzymał oczywiściewszystkie niezbędne certyfikaty dla CryptGenRandom, ale realnych,matematycznych, a nie politycznych gwarancji nikt tu dać nie może. W2007 roku izraelskim badaczom udało się znaleźć za pomocą technikodwrotnej inżynierii poważne słabości w implementacji CryptGenRandomna Windows 2000 i Windows XP (które później zostały poprawione dla XPw Service Packu 3).Z Linuksem, mimo że na psuciesprzętowego generatora jest odporny (a Theodore T'so chwalisię, że nie uległ naciskom Intela, by /dev/random polegało tylkona instrukcjach rdrand), też nie musi być tak wspaniale. Wpaździerniku Bruce Schneier donosił o nowymartykule, wskazującym na słabości w pseudolosowych generatorachtego systemu. Jego autorzy – informatycy z USA i Francji –nie wiedzą jednak, czy słabości te można wykorzystać doskonstruowania ataków. Twórcy Linuksa potraktowali jednak dokument poważnie: jądro 3.14 przynieść ma zmiany chroniące przed przedstawionymi scenariuszami ataków.