Abo
  • Services:
Anzeige
Linux 3.17 ist freigegeben.
Linux 3.17 ist freigegeben. (Bild: Richard Giddins, CC BY 2.0)

Mehr Zufallszahlen

Anzeige

Linux 3.17 erhält einen neuen Systemaufruf namens getrandom(2). Die beiden bisher verwendeten virtuellen Geräte /dev/random und /dev/urandom für das Generieren von Zufallszahlen hatten die LibreSSL-Entwickler kritisiert: Ein Zugriff auf diese Geräte benötige Dateisystemoperationen, die manchmal scheitern könnten, etwa wenn keine Filehandles mehr zur Verfügung stünden. Außerdem sei das Dateisystem /dev nicht immer gemountet, so könnte man beispielsweise eine sogenannte Chroot-Umgebung ohne Dev-Dateisystem betreiben. Mit dem Systemaufruf getrandom(2) sollen diese Probleme behoben worden sein. Diese Lösung gibt es bereits bei OpenBSD, sie wurde von den Entwicklern von LibreSSL für Linux gefordert.

Der neue Systemaufruf schließt eine weitere Lücke: Das virtuelle Gerät /dev/random liefert nur dann Zufallszahlen, wenn dem System genügend Entropie zur Verfügung steht, und kann somit in manchen Situationen eine Software blockieren. Urandom produziert hingegen immer Zufallszahlen - auch dann, wenn diese möglicherweise unsicher sind. Der neue Systemaufruf umgeht diese Probleme, indem er erst dann Zufallszahlen liefert, wenn der Pseudorandom Number Generator (PRNG) mit 128 Bit Entropie gestartet wurde.

Außerdem kann der Kernel künftig auch Daten aus Hardware Random Number Generators (HWRNG) über einen Thread abholen. Bislang waren dafür nur die jeweiligen Userspace-Anwendungen zuständig. Neu mit dabei ist auch ein Deterministic Random Bit Generator (DRBG), wie ihn das National Institute of Standards and Technology (NIST) in seiner Empfehlung SP 800-90A vorsieht. Unter diesen Zufallszahlengeneratoren war auch Dual_EC_DRBG, der nachweislich eine Hintertür enthielt, inzwischen nicht mehr zum NIST-Standard gehört und auch im Linux-Kernel nicht umgesetzt wurde. Stattdessen sind die anderen drei mit den Namen Hash_DRBG, CTR_DRBG und HMAC_DRBG in Linux 3.17, wobei nur letzterer standardmäßig vorhanden ist, da er als der schlankeste und schnellste der drei gilt. Die anderen beiden müssten explizit beim Kompilieren des Kernels aktiviert werden.

USB über TCP/IP

Künftig können an einen Linux-Rechner angeschlossene USB-Geräte von externen Rechnern über das Netzwerk angesprochen werden. Der Code des dafür zuständigen USB/IP-Stacks wurde aus dem experimentellen Staging-Bereich übernommen. Die dafür benötigten Treiber und Userspace-Programme für Linux gibt es bereits. USB/IP wurde vom gleichnamigen Projekt entwickelt. Dort gibt es auch Treiber für Windows, die ReactOS-Entwickler beigesteuert haben. Der Code wurde allerdings seit Juni 2011 nicht mehr weiter gepflegt.

Erste Arbeiten an der Unterstützung für Hotplugging über I/O Advanced Programmable Interrupt Controller (I/O Apic) wurden in Linux 3.17 integriert. Mit I/O Apic lassen sich Hardware-Interrupts besser verwalten, etwa indem sie in logische Gruppen zusammengefasst oder mit unterschiedlichen Prioritäten versehen werden können. Damit Hotplugging mit I/O Apic funktioniert, müssen am Apic-Code noch Änderungen vorgenommen werden, beispielsweise die Entfernung überflüssiger Treiber-Abstrahierungen. In dem jetzt eingereichten Patch wurde auch die Unterstützung von Irqdomain in das Apic-Subsystem integriert. Damit sollen später die Interrupts mit I/O Apic verwaltet werden.

Multiqueue und Kexec

Die mit Linux 3.12 begonnene Integration der Multiqueue-Block-Layer-Unterstützung wurde in das SCSI-Subsystem integriert. Zuvor mussten diverse Treiber angepasst werden. Mit mehreren Warteschleifen (Queues) soll der Zugriff auf Datenträger beschleunigt werden, was besonders bei SSDs für einen deutlichen Geschwindigkeitszuwachs sorgen soll.

Der neue Systemaufruf kexec_file_load() sorgt dafür, dass der Kernel eine aktualisierte Version von sich selbst einer Signaturüberprüfung unterzieht, bevor damit gestartet werden kann. Kexec bewirkt, dass das System auch ohne Neustart einen neuen Kernel lädt. Bisher lief Kexec im Userspace, was eine Sicherheitsprüfung verhinderte, die auf Rechnern mit Secure Boot notwendig war. Daher war Kexec auf vielen Linux-Distributionen abgeschaltet worden.

Der Quellcode Linux 3.17 ist unter kernel.org verfügbar. Für den nächsten Linux-Kernel 3.18 gibt es wegen Torvalds Reisen und Konferenzen diesmal ein Merge-Fenster von etwa drei Wochen.

 Linux-Kernel: Mehr Zufall in Linux 3.17

eye home zur Startseite
Vanger 06. Okt 2014

Als derart speziell sehe ich persönlich das Scanner-Setup gar nicht... Insbesondere für...



Anzeige

Stellenmarkt
  1. CONJECT AG, Duisburg
  2. Bilfinger GreyLogix GmbH, Flensburg
  3. ADG Apotheken-Dienstleistungsgesellschaft mbH, Mannheim
  4. T-Systems International GmbH, München


Anzeige
Hardware-Angebote
  1. ab 189,00€ im PCGH-Preisvergleich
  2. (Core i7-7700HQ + GeForce GTX 1070)
  3. bei Alternate

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Gulp-Umfrage

    Welche Kenntnisse IT-Freiberufler brauchen

  2. HPE

    650 Millionen Dollar für den Einstieg in die Hyperkonvergenz

  3. Begnadigung

    Danke, Chelsea Manning!

  4. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  5. Simplygon

    Microsoft reduziert 3D-Details

  6. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  7. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  8. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  9. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  10. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: Traurig

    Moe479 | 03:00

  2. Re: Begnadigung, bei positiver Wertung vieler...

    teenriot* | 02:55

  3. Re: Schutzmaßnahmen?

    Rulf | 02:48

  4. Re: Youtube Videos bei Focus, Welt, Bild etc.

    Rulf | 02:37

  5. Still waiting for S7....kwt

    mcmrc1 | 02:11


  1. 19:06

  2. 17:37

  3. 17:23

  4. 17:07

  5. 16:53

  6. 16:39

  7. 16:27

  8. 16:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel