Reiniciando el RNG de Windows

5

Según esta investigación , Windows parece producir la misma secuencia de aleatorios Números indefinidamente cuando se inicia un proceso antes de tomar una instantánea de VM. Este es un gran problema, obviamente, al clonar máquinas virtuales; Todas las máquinas virtuales clonadas generarán los mismos números aleatorios, lo que puede comprometer muchas funciones diferentes que dependen de una buena aleatoriedad (generación de claves, etc.).

Si de alguna manera alguien restableciera el RNG o lo forzara a recolectar entropía de nuevo desde sus fuentes, entonces esto sería un problema menor. ¿Es esto teóricamente posible? ¿Cómo podría hacerse?

    
pregunta Brian 23.11.2015 - 21:40
fuente

1 respuesta

1

Esto va a depender de su entorno. Las instantáneas, los clones y las imágenes de copia dorada causan problemas simplemente porque están utilizando grupos de entropía idénticos para generar RNG para el sistema. VMWare ofrece controladores virtio que permiten que la entropía se actualice desde el núcleo del núcleo, pero no creo que esto exista para Windows.

En este caso, un reinicio refresca el grupo de entropía pero también tiene una ventana muy pequeña de problemas potenciales por debajo del umbral de entropía que su referencia también analiza. Esto se evita fácilmente NO permitiendo las funciones RNG para OpenSSL u otras necesidades de Keygen hasta que el sistema se haya iniciado completamente.

La tercera opción y, en mi opinión, la alternativa adecuada es confiar en un hardware externo rng para actualizar su grupo de entropía y luego extraerlo. Eso te permite:

  • Fuentes True Entropy para completar todos los PRNGS en cada virtual
  • La capacidad de monitorear el grupo de entropía de cada clon y actualizar cuando se alcanzan los umbrales de entropía (rellenando hasta 4k)
  • No te preocupa que estés usando grupos de entropía duplicados de todas las imágenes de clonación

Ninguno si este es un problema a menos que tenga un requisito de cumplimiento y / o tenga necesidades de keygen que saturen el grupo de entropía de cada vm y realmente causen un potencial para escenarios de números conocidos. En esos casos, vaya hardware RNG.

TL; DR

  • Dado el tiempo suficiente, el grupo de entropía se agita y este problema se vuelve discutible
  • Si confía en Windows o Linux para las necesidades reales de SSL, no confíe en las agrupaciones de entropía del kernel y elija un método NIST 800-90 (A / B) aprobado; hardware a través de API o programación personalizada
  • Actualice su aplicación en Windows: enlace
respondido por el user89449 05.12.2015 - 00:05
fuente

Lea otras preguntas en las etiquetas