Twórcy FreeBSD nie ufają Intelowi, blokują dostęp do sprzętowego generatora losowości

Na ile zaufać można generatorom liczb losowych, osadzonym wewspółczesnych procesorach? Od poprawności ich działania zależy realnaefektywność wykorzystywanych narzędzi szyfrujących, tymczasemwątpliwości co do losowości tego, co otrzymujemy na wyjściu tychgeneratorów są całkiem spore. Dowcipy rodemz Dilberta to jedno, ale konkretnepropozycje niewykrywalnych ataków sprzętowych na takiegeneratory, prowadzące do drastycznego osłabienia losowości, to coś,czego nie można lekceważyć. Do tego dochodzą jeszcze te wszystkiedokumenty od Edwarda Snowdena, z których wynika, że NSA i jegobrytyjski odpowiednik GCHQ miały współpracować z producentamiprocesorów nad wstawianiem sprzętowych furtek do ich produktów.Odpowiedź deweloperów systemu FreeBSD na postawione na początkupytanie jest jednoznaczna: nie można im zaufać wcale. FreeBSD 10, którego finalnej wersji możemy się spodziewać wnajbliższych tygodniach, wprowadzi poważne zmiany w sposobiewykorzystania sprzętowych generatorów liczb losowych. GeneratoryRDRAND od Intela i Padlock od Via Technologies nie będą już mogły byćwykorzystane bezpośrednio jako źródło losowości dla puli /dev/random.Użytkownicy sprzętu z układami Intela czy Via będą mogli w zamianprzekierować dane z RDRAND czy Padlocka na wejście zaprojektowanegoprzez Bruce'a Schneiera algorytmuYarrow („krwawnik”), który dodając swoją entropięuczyni ewentualne furtki w sprzęcie niegroźnymi.[img=randomness]Jeśli ktoś bardzo będzie chciał uzyskać bezpośredni dostęp do tychsprzętowych generatorów, będzie to mógł zrobić np. przez OpenSSLuruchamiany w warstwie użytkownika, ale system operacyjny jako taki,ufać już Intelowi nie może. Uzasadnienie tej decyzji znaleźć można wnotatkachz dyskusji Security Working Group projektu FreeBSD, w którejdeweloperzy bezpośrednio odwołują się do rewelacji Snowdena isugerują wykorzystanie w przyszłości kryptograficznie bezpiecznegogeneratora liczb pseudolosowych Fortuna(który nie wymaga szacowania dostępnej systemowi entropii i jestodporny na manipulacje danymi na wejściu).Jeśli naszym Czytelnikom by się wydawało, że obawa przed furtkamiw generatorach liczb losowych to zbytek ostrożności, czy też coś zeświata ludzi, którzy na głowach noszą kapelusze z folii aluminiowej,to przypomnijmy tylko historiębłędu w generatorze liczb losowych Androida, który pozwoliłnapastnikom wykraść kilkadziesiąt bitcoinów z mobilnych portfeliofiar, czy też fatalnegobłędu w tajwańskim systemie cyfrowych dowodów osobistych, którypozwalał napastnikom na podszywanie się pod zarejestrowanych wsystemie obywateli. Niestety, każdy system zabezpieczeń jest tylkotak dobry, jak jego najsłabsze ogniwo, tak więc nawet cień podejrzeńwobec niezawodności danego elementu musi być wystarczającym powodemdo jego wyeliminowania.