Abo
  • Services:

FreeBSD: Misstrauen bei RNGs von Intel und Via

Künftig werden Zufallszahlen in FreeBSD nicht mehr direkt von der Hardware von Intel oder Via berechnet. Nach der Enthüllung durch NSA-Dokumente seien sie nicht mehr sicher, so die Entwickler.

Artikel veröffentlicht am ,
In FreeBSD 10 sollen Zufallszahlen nicht mehr direkt von der Hardware kommen.
In FreeBSD 10 sollen Zufallszahlen nicht mehr direkt von der Hardware kommen. (Bild: FreeBSD)

In FreeBSB ab Version 10 werden Zufallszahlen nicht mehr ausschließlich von den hardwareseitigen Zufallsgeneratoren (Random Number Generator, RNG) von Intel und Via berechnet. Stattdessen soll die Schnittstelle Yarrow weitere Entropiequellen hinzufügen, bevor Zufallszahlen von Anwendungen verwendet werden können. Yarrow soll Zufallszahlen an /dev/random weitergeben statt wie bisher das für Intels RNGs Rdrand und Vias RNGs Padlock.

Stellenmarkt
  1. Garz & Fricke GmbH, Hamburg
  2. Fette Compacting GmbH, Mechelen (Belgien)

Die Entwickler reagieren damit auf Informationen, die die Dokumente hergeben, die Edward Snowden bei der NSA mitgenommen hat. Dort ist zu lesen, dass das Sigint Enabling Project der NSA bereits Wege gefunden habe, die Verschlüsselungschips einiger Hardwarehersteller zu infiltrieren, etwa um Hintertüren einzubauen oder die Generierung von Zufallszahlen vorherzusehen, was die aus den Zahlen entstandenen Schlüssel schwach macht. Der Zufallsgenerator in Ivy-Bridge-Chips nutzt unter anderem Nists SP800-90-Standard, in dem eine Hintertür der NSA vermutet wird.

Mehr Entropie beim Systemstart

Rdrand und Padlock sollen aber nicht gänzlich entfernt werden, sondern können bei Bedarf weiterhin verwendet werden, etwa von OpenSSL mit expliziten Befehlen. Allerdings sollen Rdrand und Padlock nicht mehr weiter standardmäßig genutzt werden, da ihnen die FreeBSD-Entwickler misstrauen, so Dag-Erling Smørgrav, in seiner Zusammenfassung einer Diskussion unter FreeBSD-Entwicklern.

Darüber hinaus müssen aber weitere Fehler im Sicherheitsframework von FreeBSD beseitigt werden, etwa das Einspeisen von Nullen aus der Entropiequelle der Netzwerkkarten. Außerdem soll die Entropie beim Systemstart besser werden. Das bisher verwendete Skript Initrandom habe fast nur statische Daten an /dev/random weitergegeben. Künftig werden mehr Geräte vom Skript initiiert und damit die Entropiequellen erhöht. Außerdem soll bei der Installation eines neuen Systems die Entropie für die Generierung von SSH-Schlüsseln erhöht werden. Beide Maßnahmen sollen auch dafür sorgen, dass sich die Zufallszahlen bei geklonten Systemen, etwa in virtuellen Umgebungen, deutlicher voneinander unterscheiden.

Weitere Baustellen

Weitere Baustellen, die die Entwickler in der finalen Version 10 von FreeBSD geschlossen haben wollen, sind ein verbessertes Package Signing und die Umsetzung von Stackgap. Damit soll es Angreifern schwerer gemacht werden, im Falle eines Bufferoverflows Vermutungen über ein Anwendungsstack anzustellen. Stackgap zieht aber weitreichende Änderungen nach sich und verhindert etwa, dass portierte Anwendungen funktionieren. Außerdem soll VuXML nochmals überarbeitet werden. Die XML-Applikation für das Bereitstellen von Sicherheitshinweisen und das dazugehörige Werkzeug Portaudit haben noch einige Fehler und sollen zudem künftig bessere CPE-Informationen (Common Platform Enumeration) liefern.



Anzeige
Spiele-Angebote
  1. 399,99€ mit Vorbesteller-Preisgarantie
  2. 54,99€ mit Vorbesteller-Preisgarantie
  3. (-15%) 23,79€
  4. 59,99€ mit Vorbesteller-Preisgarantie

TC 11. Dez 2013

gibt es gescheite True-Random Entropiegeneratoren für günstig Geld? ich fand bisher nur...

SvenMeyer 11. Dez 2013

Da ist einproprietärer PRNG in Hardware, von dem man nichts weiß was da drinnen passiert...


Folgen Sie uns
       


Shift 6m - Hands on (Cebit 2018)

Der Hersteller beschreibt das neue Shift 6M als nachhaltig und Highend - wir haben es uns auf der Cebit 2018 angesehen.

Shift 6m - Hands on (Cebit 2018) Video aufrufen
Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  2. Battlefield 5 Schatzkisten und Systemanforderungen
  3. Battlefield 5 Zweiter Weltkrieg mit Sprengkraft

Garmin Fenix 5 Plus im Test: Mit Musik ins unbekannte Land
Garmin Fenix 5 Plus im Test
Mit Musik ins unbekannte Land

Kopfhörer ins Ohr und ab zum Joggen, Rad fahren oder zum nächsten Supermarkt spazieren - ohne Smartphone: Mit der Sport-Smartwatch Fenix 5 Plus von Garmin geht das. Beim Test haben wir uns zwar im Wegfindungsmodus verlaufen, sind von den sonstigen Navigationsoptionen aber begeistert.
Ein Test von Peter Steinlechner

  1. Garmin im Hands on Alle Fenix 5 Plus bieten Musik und Offlinenavigation

VR-Rundschau: Retten rockende Jedi-Ritter die virtuelle Realität?
VR-Rundschau
Retten rockende Jedi-Ritter die virtuelle Realität?

Der mediale Hype um VR ist zwar abgeflaut, spannende Inhalte dafür gibt es aber weiterhin - und das nicht nur im Games-Bereich. Mit dabei: das beliebteste Spiel bei Steam, Jedi-Ritter auf Speed und ägyptische Grabkammern.
Ein Test von Achim Fehrenbach

  1. Oculus Core 2.0 Windows 10 wird Minimalanforderung für Oculus Rift
  2. Virtual Reality BBC überträgt Fußball-WM in der virtuellen VIP-Loge
  3. VR-Brillen Google experimentiert mit Lichtfeldfotografie

    •  /