Abo
  • Services:

FreeBSD: Misstrauen bei RNGs von Intel und Via

Künftig werden Zufallszahlen in FreeBSD nicht mehr direkt von der Hardware von Intel oder Via berechnet. Nach der Enthüllung durch NSA-Dokumente seien sie nicht mehr sicher, so die Entwickler.

Artikel veröffentlicht am ,
In FreeBSD 10 sollen Zufallszahlen nicht mehr direkt von der Hardware kommen.
In FreeBSD 10 sollen Zufallszahlen nicht mehr direkt von der Hardware kommen. (Bild: FreeBSD)

In FreeBSB ab Version 10 werden Zufallszahlen nicht mehr ausschließlich von den hardwareseitigen Zufallsgeneratoren (Random Number Generator, RNG) von Intel und Via berechnet. Stattdessen soll die Schnittstelle Yarrow weitere Entropiequellen hinzufügen, bevor Zufallszahlen von Anwendungen verwendet werden können. Yarrow soll Zufallszahlen an /dev/random weitergeben statt wie bisher das für Intels RNGs Rdrand und Vias RNGs Padlock.

Stellenmarkt
  1. Verlag C.H.BECK, München-Schwabing
  2. Oldendorff Carriers GmbH & Co. KG, Lübeck

Die Entwickler reagieren damit auf Informationen, die die Dokumente hergeben, die Edward Snowden bei der NSA mitgenommen hat. Dort ist zu lesen, dass das Sigint Enabling Project der NSA bereits Wege gefunden habe, die Verschlüsselungschips einiger Hardwarehersteller zu infiltrieren, etwa um Hintertüren einzubauen oder die Generierung von Zufallszahlen vorherzusehen, was die aus den Zahlen entstandenen Schlüssel schwach macht. Der Zufallsgenerator in Ivy-Bridge-Chips nutzt unter anderem Nists SP800-90-Standard, in dem eine Hintertür der NSA vermutet wird.

Mehr Entropie beim Systemstart

Rdrand und Padlock sollen aber nicht gänzlich entfernt werden, sondern können bei Bedarf weiterhin verwendet werden, etwa von OpenSSL mit expliziten Befehlen. Allerdings sollen Rdrand und Padlock nicht mehr weiter standardmäßig genutzt werden, da ihnen die FreeBSD-Entwickler misstrauen, so Dag-Erling Smørgrav, in seiner Zusammenfassung einer Diskussion unter FreeBSD-Entwicklern.

Darüber hinaus müssen aber weitere Fehler im Sicherheitsframework von FreeBSD beseitigt werden, etwa das Einspeisen von Nullen aus der Entropiequelle der Netzwerkkarten. Außerdem soll die Entropie beim Systemstart besser werden. Das bisher verwendete Skript Initrandom habe fast nur statische Daten an /dev/random weitergegeben. Künftig werden mehr Geräte vom Skript initiiert und damit die Entropiequellen erhöht. Außerdem soll bei der Installation eines neuen Systems die Entropie für die Generierung von SSH-Schlüsseln erhöht werden. Beide Maßnahmen sollen auch dafür sorgen, dass sich die Zufallszahlen bei geklonten Systemen, etwa in virtuellen Umgebungen, deutlicher voneinander unterscheiden.

Weitere Baustellen

Weitere Baustellen, die die Entwickler in der finalen Version 10 von FreeBSD geschlossen haben wollen, sind ein verbessertes Package Signing und die Umsetzung von Stackgap. Damit soll es Angreifern schwerer gemacht werden, im Falle eines Bufferoverflows Vermutungen über ein Anwendungsstack anzustellen. Stackgap zieht aber weitreichende Änderungen nach sich und verhindert etwa, dass portierte Anwendungen funktionieren. Außerdem soll VuXML nochmals überarbeitet werden. Die XML-Applikation für das Bereitstellen von Sicherheitshinweisen und das dazugehörige Werkzeug Portaudit haben noch einige Fehler und sollen zudem künftig bessere CPE-Informationen (Common Platform Enumeration) liefern.



Anzeige
Blu-ray-Angebote
  1. 34,99€

TC 11. Dez 2013

gibt es gescheite True-Random Entropiegeneratoren für günstig Geld? ich fand bisher nur...

SvenMeyer 11. Dez 2013

Da ist einproprietärer PRNG in Hardware, von dem man nichts weiß was da drinnen passiert...


Folgen Sie uns
       


ZTE Axon 9 Pro - Hands on (Ifa 2018)

Das Axon 9 Pro ist ZTEs erstes Smartphone nach der Beinahe-Pleite. In einem ersten Hands on hat uns das Gerät gut gefallen - besonders bei dem Preis von 650 Euro.

ZTE Axon 9 Pro - Hands on (Ifa 2018) Video aufrufen
Segelflug: Die Höhenflieger
Segelflug
Die Höhenflieger

In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
Ein Bericht von Daniel Hautmann

  1. Luftfahrt Nasa testet leise Überschallflüge
  2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
  3. Elektroflieger Norwegen will elektrisch fliegen

Apple: iPhone Xs und iPhone Xs Max sind bierdicht
Apple
iPhone Xs und iPhone Xs Max sind bierdicht

Apple verdoppelt das iPhone X. Das Modell iPhone Xs mit 5,8 Zoll großem Display ist der Nachfolger des iPhone X und das iPhone Xs Max ist ein Plus-Modell mit 6,5 Zoll großem Display. Die Gehäuse sind sogar salzwasserfest und überstehen auch Bäder in anderen Flüssigkeiten.

  1. Apple iPhone 3GS wird in Südkorea wieder verkauft
  2. Drosselung beim iPhone Apple zahlt Kunden Geld für Akkutausch zurück
  3. NFC Yubikeys arbeiten ab sofort mit dem iPhone zusammen

Zahlen mit Smartphones im Alltagstest: Sparkassenkunden müssen nicht auf Google Pay neidisch sein
Zahlen mit Smartphones im Alltagstest
Sparkassenkunden müssen nicht auf Google Pay neidisch sein

In Deutschland gibt es mittlerweile mehrere Möglichkeiten, drahtlos mit dem Smartphone zu bezahlen. Wir haben Google Pay mit der Sparkassen-App Mobiles Bezahlen verglichen und festgestellt: In der Handhabung gleichen sich die Apps zwar, doch in den Details gibt es einige Unterschiede.
Ein Test von Tobias Költzsch

  1. Smartphone Auch Volksbanken führen mobiles Bezahlen ein
  2. Bezahldienst ausprobiert Google Pay startet in Deutschland mit vier Finanzdiensten

    •  /