Назва і тіло вашого питання задати два різних питання: як операційна система створює ентропії (це повинно бути дійсно Отримує ентропії), і як він генерує псевдо-хаотичність від цієї ентропії. Почну з пояснення різниці.
Звідки береться випадковість?
Генератори випадкових чисел (RNG) бувають двох типів:
- Генератори псевдовипадкових чисел (PRNG), які також називаються детермінованими генераторами випадкових бітів (DRBG) або їх комбінації, є детермінованими алгоритмами, які підтримують внутрішній стан змінної фіксованого розміру та обчислюють їх вихід з цього стану.
- Апаратний генератор випадкових чисел (HRNG), який також називають "справжніми" генераторами випадкових чисел, заснований на фізичних явищах. "Правда" є дещо помилковим, оскільки немає джерел інформації, які, як відомо, є справді випадковими , лише джерела інформації, які, як відомо, не можна передбачити.
Деякі програми, такі як моделювання фізичних явищ, можуть задовольнятися випадковими числами, які проходять статистичні тести. Інші програми, такі як генерація криптографічних ключів, потребують більш сильної властивості: непередбачуваності . Непередбачуваність - це властивість безпеки, а не (лише) статистична властивість: це означає, що противник не може здогадатися про вихід генератора випадкових чисел. (Точніше, ви можете виміряти якість RNG, вимірявши ймовірність того, що противник відгадає кожен біт виходу RNG. Якщо ймовірність помірно відрізняється від 1/2, RNG є поганою.)
Існують фізичні явища, які дають випадкові дані з хорошими статистичними властивостями - наприклад, радіоактивний розпад або деякі астрономічні спостереження фонового шуму або коливання фондового ринку. Такі фізичні вимірювання потребують кондиціонування ( відбілювання ), щоб перетворити упереджені розподіли ймовірностей в рівномірний розподіл ймовірностей. Фізичний вимір, який відомий всім, не є корисним для криптографії: коливання на фондовому ринку можуть бути корисними для геосигналізації , але ви не можете використовувати їх для створення секретних ключів .
Криптографія вимагає секретності : супротивник не повинен бути в змозі з'ясувати дані, які перейшли в кондиціювання. Існують криптографічно захищені генератори псевдовипадкових чисел (CSPRNG): алгоритми PRNG, вихід яких підходить для використання в криптографічних додатках, окрім хороших статистичних властивостей . Однією з властивостей, які роблять криптографічно захищеним CSPRNG, є те, що його вихід не дозволяє супротивнику реконструювати внутрішній стан (знаючи всі біти, але той, який виробляється CSPRNG, не допомагає знайти відсутній біт). Я не буду займатися тим, як зробити CSPRNG, тому що це простий біт - ви можете слідувати рецептам професійних криптографів (використовуйте стандартнийалгоритм, такий як Hash_DRBG, HMAC_DRBG або CTR_DRBG від NIST SP 800-90A ) або ANSI X9.31 PRNG . Для забезпечення безпеки CSPRNG потрібні два властивості його стану:
- Держава повинна зберігатись у таємниці від початку та постійно (хоча експозиція держави не виявить минулих результатів).
- Стан повинен бути лінійним: RNG ніколи не повинен запускатися двічі з одного стану.
Архітектура генератора випадкових чисел
На практиці майже всі добрі генератори випадкових чисел поєднують CSPRNG з одним або кількома джерелами ентропії . Коротше кажучи, ентропія є мірою непередбачуваності джерела даних. Побудувати генератор випадкових чисел виключно на апаратному RNG складно:
- Сирі фізичні дані, швидше за все, потребують кондиціонування, щоб перетворити ймовірнісні дані в рівномірний розподіл.
- Вихідні дані з джерела випадковості повинні зберігатися в таємниці.
- Джерела ентропії часто повільні порівняно з попитом.
Таким чином, RNG в операційній системі майже завжди працює так :
- Накопичити достатню ентропію для побудови непередбачуваного внутрішнього стану.
- Запустіть CSPRNG , використовуючи накопичену ентропію як насіння, тобто як початкове значення внутрішнього стану.
- За бажанням періодично змішуйте додаткову ентропію у внутрішній стан. (Це не є суворо необхідним, оскільки ентропія не "споживається" жодною мірою, яка не піддається вимірюванню . Це допомагає проти певних загроз, які витікають із стану RNG, не загрожуючи всій системі.)
Служба генерації випадкових чисел є частиною завдання операційної системи, оскільки для збирання ентропії потрібен доступ до обладнання, а джерела ентропії складають спільний ресурс: операційна система повинна зібрати їх та отримати вихід із них, який буде відповідати додаткам. В операційній системі потрібні псевдовипадкові кондиціонування джерел ентропії; це може бути також криптографічно безпечним, тому що це не принципово важче (і це потрібно в операційних системах, де додатки не довіряють один одному; у повністю співпрацюючих системах кожне додаток повинно було б запускати свій власний CSPRNG, якщо операційна система не надали жодного).
Більшість систем із стійким зберіганням завантажують насіння RNG з диска (я буду використовувати "диск" як абревіатуру для будь-якого постійного зберігання), коли вони завантажуються, і перезаписують насіння деякими свіжими псевдовипадковими даними, згенерованими з цього насіння, або якщо вони доступні з випадковими даними, згенерованими з цього насіння плюс іншим джерелом ентропії. Таким чином, навіть якщо ентропія недоступна після перезавантаження, ентропія попереднього сеансу повторно використовується.
Потрібно подбати про збережений стан. Пам'ятаєте, як я сказав, що стан повинен бути лінійним? Якщо ви двічі завантажуєтесь з одного і того ж стану диска, ви отримаєте однакові виходи RNG. Якщо це можливо у вашому оточенні, вам потрібно інше джерело ентропії. Будьте обережні під час відновлення з резервних копій або під час клонування віртуальної машини . Один з методів клонування - змішування збереженої ентропії з деякими екологічними даними, які передбачувані, але унікальні (наприклад, час та MAC-адреса); майте на увазі, що якщо дані про навколишнє середовище передбачувані, кожен, хто має збережений стан VM, може реконструювати насіння роздвоєного екземпляра VM.
Ентропійні джерела
Пошук (та правильне використання) джерел ентропії - найскладніша частина генерації випадкових чисел в операційній системі. Наявні джерела ентропії обов'язково залежатимуть від обладнання та від того, в якому середовищі працює апаратне забезпечення.
Якщо вам пощастило, ваше обладнання надає периферійну мережу, яка може бути використана як джерело ентропії: апаратний генератор випадкових чисел , виділений або призначений стороною. Наприклад:
NIST SP800-90B надає рекомендації щодо дизайну апаратних RNG. Оцінити апаратний RNG складно . Апаратна RNG - це, як правило, делікатні звірі, з якими потрібно обережно користуватися: багатьом типам потрібен деякий час після завантаження і деякий час між читаннями, щоб дестабілізуватись, вони часто чутливі до умов навколишнього середовища, таких як температура тощо.
Процесори Intel x86-64, засновані на архітектурі Ivy Bridge, надають RdRandінструкцію, яка забезпечує вихід із CSPRNG, посіяного тепловим шумом . Більшість процесорів смартфонів містять апаратне джерело ентропії, хоча Android не завжди його використовує.
Системи, яким не вистачає сильного джерела ентропії, мають стосуватися поєднання слабких джерел ентропії та сподівання ( гарантуючи, що це занадто сильне слово), що їх буде достатньо. Випадкові рухи миші користуються популярністю на клієнтських машинах, і ви, можливо, бачили шоу безпеки певними програмами криптографії, які просять вас перемістити мишу (навіть незважаючи на те, що на будь-якій операційній системі ПК 21 століття операційна система накопичила ентропію, не потребуючи додатків заважати ).
Якщо ви хочете подивитися на прикладі, ви можете подивитися на Linux, хоча будьте уважні, що він не ідеальний . Зокрема, /dev/randomблокується занадто часто (оскільки він блокує, поки не буде доступна достатня кількість ентропії з надмірно консервативним поняттям ентропії), тоді /dev/urandomяк майже завжди добре, крім першого завантаження, але не дає ознак, коли у нього недостатньо ентропії. Linux має драйвери для багатьох пристроїв HRNG , а також накопичує ентропію від різних пристроїв (включаючи пристрої введення ) та диски .
Якщо у вас є (конфіденційне) постійне сховище, ви можете використовувати його для збереження ентропії від одного завантаження до іншого, як зазначено вище. Першого завантаження є делікатним час: система може перебувати в досить передбачуваному стані в той момент, особливо на серійних пристроях , які в основному працюють з заводу таким же чином. Деякі вбудовані пристрої, які мають постійне зберігання, забезпечені початковим насінням на заводі (випускається за допомогою RNG, що працює на комп'ютері на заводі). У віртуалізованих серверних середовищах початкова ентропія може бути передбачена при інстанціюванні віртуальної машини від хоста або з сервера ентропії.
Пристрої з поганим насінням є поширеною проблемою на практиці - дослідження відкритих ключів RSA встановило, що у багатьох серверах та пристроях були ключі, що були сформовані з поганою RNG, швидше за все, хорошим PRNG, який був недостатньо засіяний. Як розробник ОС, ви не можете вирішити цю проблему самостійно: завдання організації, яка контролює ланцюг розгортання, - забезпечити правильне засідання RNG під час першого завантаження. Ваше завдання дизайнера ОС полягає в тому, щоб забезпечити належну RNG, включаючи інтерфейс, щоб забезпечити це перше насіння і забезпечити належну сигналізацію про помилки, якщо RNG використовується до її належного висіву.