Abo
  • Services:
Anzeige
In FreeBSD 10 sollen Zufallszahlen nicht mehr direkt von der Hardware kommen.
In FreeBSD 10 sollen Zufallszahlen nicht mehr direkt von der Hardware kommen. (Bild: FreeBSD)

FreeBSD Misstrauen bei RNGs von Intel und Via

Künftig werden Zufallszahlen in FreeBSD nicht mehr direkt von der Hardware von Intel oder Via berechnet. Nach der Enthüllung durch NSA-Dokumente seien sie nicht mehr sicher, so die Entwickler.

Anzeige

In FreeBSB ab Version 10 werden Zufallszahlen nicht mehr ausschließlich von den hardwareseitigen Zufallsgeneratoren (Random Number Generator, RNG) von Intel und Via berechnet. Stattdessen soll die Schnittstelle Yarrow weitere Entropiequellen hinzufügen, bevor Zufallszahlen von Anwendungen verwendet werden können. Yarrow soll Zufallszahlen an /dev/random weitergeben statt wie bisher das für Intels RNGs Rdrand und Vias RNGs Padlock.

Die Entwickler reagieren damit auf Informationen, die die Dokumente hergeben, die Edward Snowden bei der NSA mitgenommen hat. Dort ist zu lesen, dass das Sigint Enabling Project der NSA bereits Wege gefunden habe, die Verschlüsselungschips einiger Hardwarehersteller zu infiltrieren, etwa um Hintertüren einzubauen oder die Generierung von Zufallszahlen vorherzusehen, was die aus den Zahlen entstandenen Schlüssel schwach macht. Der Zufallsgenerator in Ivy-Bridge-Chips nutzt unter anderem Nists SP800-90-Standard, in dem eine Hintertür der NSA vermutet wird.

Mehr Entropie beim Systemstart

Rdrand und Padlock sollen aber nicht gänzlich entfernt werden, sondern können bei Bedarf weiterhin verwendet werden, etwa von OpenSSL mit expliziten Befehlen. Allerdings sollen Rdrand und Padlock nicht mehr weiter standardmäßig genutzt werden, da ihnen die FreeBSD-Entwickler misstrauen, so Dag-Erling Smørgrav, in seiner Zusammenfassung einer Diskussion unter FreeBSD-Entwicklern.

Darüber hinaus müssen aber weitere Fehler im Sicherheitsframework von FreeBSD beseitigt werden, etwa das Einspeisen von Nullen aus der Entropiequelle der Netzwerkkarten. Außerdem soll die Entropie beim Systemstart besser werden. Das bisher verwendete Skript Initrandom habe fast nur statische Daten an /dev/random weitergegeben. Künftig werden mehr Geräte vom Skript initiiert und damit die Entropiequellen erhöht. Außerdem soll bei der Installation eines neuen Systems die Entropie für die Generierung von SSH-Schlüsseln erhöht werden. Beide Maßnahmen sollen auch dafür sorgen, dass sich die Zufallszahlen bei geklonten Systemen, etwa in virtuellen Umgebungen, deutlicher voneinander unterscheiden.

Weitere Baustellen

Weitere Baustellen, die die Entwickler in der finalen Version 10 von FreeBSD geschlossen haben wollen, sind ein verbessertes Package Signing und die Umsetzung von Stackgap. Damit soll es Angreifern schwerer gemacht werden, im Falle eines Bufferoverflows Vermutungen über ein Anwendungsstack anzustellen. Stackgap zieht aber weitreichende Änderungen nach sich und verhindert etwa, dass portierte Anwendungen funktionieren. Außerdem soll VuXML nochmals überarbeitet werden. Die XML-Applikation für das Bereitstellen von Sicherheitshinweisen und das dazugehörige Werkzeug Portaudit haben noch einige Fehler und sollen zudem künftig bessere CPE-Informationen (Common Platform Enumeration) liefern.


eye home zur Startseite
TC 11. Dez 2013

gibt es gescheite True-Random Entropiegeneratoren für günstig Geld? ich fand bisher nur...

SvenMeyer 11. Dez 2013

Da ist einproprietärer PRNG in Hardware, von dem man nichts weiß was da drinnen passiert...



Anzeige

Stellenmarkt
  1. TUI InfoTec GmbH, Hannover
  2. BWI GmbH, Rheinbach
  3. FILIADATA GmbH, Karlsruhe
  4. eg factory GmbH, Chemnitz


Anzeige
Spiele-Angebote
  1. (-82%) 7,99€
  2. (-15%) 16,99€
  3. (-5%) 47,49€

Folgen Sie uns
       


  1. LTE

    Taiwan schaltet nach 2G- auch 3G-Netz ab

  2. Two Point Hospital

    Sega stellt Quasi-Nachfolger zu Theme Hospital vor

  3. Callya

    Vodafones Prepaid-Tarife erhalten mehr Datenvolumen

  4. Skygofree

    Kaspersky findet mutmaßlichen Staatstrojaner

  5. World of Warcraft

    Schwierigkeitsgrad skaliert in ganz Azeroth

  6. Open Source

    Microsoft liefert Curl in Windows 10 aus

  7. Boeing und SpaceX

    Experten warnen vor Sicherheitsmängeln bei Raumfähren

  8. Tencent

    Lego will mit Tencent in China digital expandieren

  9. Beta-Update

    Gesichtsentsperrung für Oneplus Three und 3T verfügbar

  10. Matthias Maurer

    Ein Astronaut taucht unter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  2. Digitale Assistenten Hey, Google und Alexa, mischt euch nicht überall ein!
  3. MX Low Profile im Hands On Cherry macht die Switches flach

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform
  3. Breitbandausbau Oettinger bedauert Privatisierung der Telekom

Security: Das Jahr, in dem die Firmware brach
Security
Das Jahr, in dem die Firmware brach
  1. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  2. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii
  3. Asynchronous Ratcheting Tree Facebook demonstriert sicheren Gruppenchat für Apps

  1. Re: Glasfaser

    Pedrass Foch | 06:24

  2. Re: Gute Shell

    shiruba | 06:18

  3. Re: ungeschirmte DSL Leitungen?

    Pedrass Foch | 06:12

  4. Re: Tank

    Pedrass Foch | 06:06

  5. Man ist auf seinem device halt nur selbst nicht Root

    GnomeEu | 05:34


  1. 19:16

  2. 17:48

  3. 17:00

  4. 16:25

  5. 15:34

  6. 15:05

  7. 14:03

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel