「常に/ dev / urandomを使用する」は、コンテナーと分離の時代においてまだ良いアドバイスですか？

私は answer を記述しました。これは、getrandom()が初期エントロピーを待機する方法を詳細に説明しています。

ただし、「エントロピーが低いために/ dev/urandomがセキュリティの問題を示唆する可能性があるのは、新しく自動化されたOSインストールの最初の瞬間だけである」と言って、少し乱暴に売れたと思います。

あなたの心配は根拠のあるものです。私はそのこと自体とその意味合いについて、オープンな 質問 を持っています。問題は、永続的なランダムシードが入力プールから出力プール（ブロッキングプールとCRNG）に移動するのにかなりの時間がかかることです。この問題は、_/dev/urandom_が起動後数分間、予測可能な値を出力することを意味します。ソリューションは、あなたが言うように、ブロッキング_/dev/random_を使用するか、ブロックするgetrandom()セットを使用することです。

実際、初期ブート時にカーネルのログに次のような行が表示されることは珍しくありません。

_random: sn: uninitialized urandom read (4 bytes read, 7 bits of entropy available)
random: sn: uninitialized urandom read (4 bytes read, 15 bits of entropy available)
random: sn: uninitialized urandom read (4 bytes read, 16 bits of entropy available)
random: sn: uninitialized urandom read (4 bytes read, 16 bits of entropy available)
random: sn: uninitialized urandom read (4 bytes read, 20 bits of entropy available)
_

これらはすべて、十分なエントロピーが収集される前でも、非ブロッキングプールがアクセスされた場合の例です。問題は、この時点では、エントロピーの量が少なすぎて、暗号で十分に安全ではないことです。 2つあるはず³² 可能な4バイト値、ただし7ビットのエントロピーしか利用できない場合、つまり2バイトしかありません⁷、または128、異なる可能性。

Haldermanはまた、エントロピープールは各ブートでいっぱいになると言っているようで、Porninが彼の回答で言っているように、最初のOSインストール時ではありません。私のアプリケーションではそれほど重要ではありませんが、疑問に思っています。

それは実際には意味論の問題です。実際のエントロピーpool（カーネルに保持されているメモリのページで、ランダムな値が含まれています）は、永続的なエントロピーシードと環境ノイズによって各ブートで満たされます。ただし、エントロピーseed自体は、インストール時に作成され、システムがシャットダウンするたびに新しいランダムな値で更新されるファイルです。ポーリンがランダムシードをエントロピープールの一部（一般的なエントロピー分散および収集システムの一部など）と見なしているのに対し、ハルダーマンはそれを分離していると見なしている（エントロピープールは技術的にはメモリ、それ以上）。真実は、エントロピーシードが各ブートでエントロピープールに供給されることですが、実際にプールに影響を与えるには数分かかる場合があります。

ランダム性の3つの原因の要約：

1. _/dev/random_-ブロッキングキャラクターデバイスは、読み込まれるたびに「エントロピーカウント」をデクリメントします（実際にはエントロピーが減っていないにもかかわらず）。ただし、起動時に十分なエントロピーが収集されるまでブロックされるため、早い段階で安全に使用できます。

2. _/dev/urandom_-ノンブロッキングキャラクターデバイスは、誰かがデバイスを読み取るたびにランダムデータを出力します。十分なエントロピーが収集されると、ランダムデータと区別がつかない事実上無制限のストリームが出力されます。残念ながら、互換性の理由から、十分な1回限りのエントロピーが収集される前のブートの早い段階でも読み取り可能です。

3. getrandom()-エントロピープールが必要な最小のエントロピーで適切に初期化されている限り、ランダムデータを出力するsyscall。デフォルトでは、非ブロッキングプールから読み取ります。 _GRND_NONBLOCK_フラグを指定すると、十分なエントロピーがない場合にエラーが返されます。 _GRND_RANDOM_フラグを指定すると、_/dev/random_と同じように動作し、使用可能なエントロピーが得られるまで単にブロックされます。

3番目のオプションであるgetrandom() syscallを使用することをお勧めします。これにより、プロセスは暗号で保護されたランダムデータを高速で読み取ることができ、十分なエントロピーが収集されていない起動時の早い段階でのみブロックされます。 Pythonのos.urandom()関数が、このシステムコールのラッパーとして機能する場合は、使用しても問題ありません。それが実際にあるべきかどうかについて実際に 多くの議論 があったように見え、十分なエントロピーが利用可能になるまでブロックしてしまうことになります。

少し先に考えてみましょう。上で説明したのと同じくらい新鮮で素朴な環境で、最初のエントロピー生成のかなりひどい見通しのデバイスで実行されるベストプラクティスは何ですか。

これは一般的な状況であり、それに対処するにはいくつかの方法があります。

• たとえば_/dev/random_またはgetrandom()を使用するなどして、ブートの初期にブロックするようにしてください。

• 可能であれば（つまり、起動ごとにストレージに書き込むことができる場合）、永続的なランダムシードを保持します。

• 最も重要なのは、ハードウェアRNGを使用することです。これは、最も効果的な対策の1番目です。

ハードウェア乱数ジェネレータを使用することは非常に重要です。 Linuxカーネルは、サポートされているHWRNGインターフェースが存在する場合、そのインターフェースでエントロピープールを初期化し、ブートエントロピーホールを完全に排除します。多くの組み込みデバイスには、独自のランダムネスジェネレーターがあります。

これは、カーネルが環境ノイズからエントロピーを安全に生成するために必要な高解像度タイマーがない場合があるため、多くの組み込みデバイスにとって特に重要です。たとえば、一部のバージョンのMIPSプロセッサーにはサイクルカウンターがありません。

どのようにそしてなぜあなたは（私はユーザーランドを推測しますか？）CSPRNGをシードするためにurandomを使用することを提案しますか？これはどうやってgetrandomを打ちますか？

ノンブロッキングランダムネスデバイスは、高性能用に設計されていません。最近まで、ストリーム暗号ではなくランダム暗号化にSHA-1を使用しているため、デバイスは非常に低速でした。カーネルインターフェイスをランダムに使用すると、ローカルのユーザー空間CSPRNGよりも効率が低下する可能性があります。これは、カーネルを呼び出すたびに、高価な コンテキストスイッチ が必要になるためです。カーネルは、そこから大量に引き出したいアプリケーションを考慮に入れるように設計されていますが、 ソースコード のコメントは、これを正しいことと見なしていないことを明確にしています。

_/*
 * Hack to deal with crazy userspace progams when they are all trying
 * to access /dev/urandom in parallel.  The programs are almost
 * certainly doing something terribly wrong, but we'll work around
 * their brain damage.
 */
_

OpenSSLなどの一般的な暗号ライブラリ ランダムデータの生成をサポート 。それらは一度シードするか、時々再シードすることができ、並列化からより多くの利益を得ることができます。さらに、特定のオペレーティングシステムまたはオペレーティングシステムのバージョンの動作に依存しないポータブルコードの記述を可能にします。

大量のランダム性が必要ない場合は、カーネルのインターフェースを使用することで完全に問題ありません。存続期間を通して多くのランダム性を必要とする暗号アプリケーションを開発している場合は、OpenSSLのようなライブラリを使用してそれを処理することができます。