/ dev / random en la nube EC2

Question

/ dev / random en la nube EC2

#1 de Tom Leek (2 votos)

4

¿

es /dev/random bueno en AWS EC2 para usarlo en la creación de una clave compartida que se pasará a través de un canal seguro? Me preocupa que una instancia lanzada no tenga mucha entropía para empezar. ¿Qué pasa si me demoro en usarlo durante un par de minutos para obtener retrasos EBS aleatorios para obtener más entropía?

editar :

no iniciaré sesión en estas instancias. una instancia generará una clave y la colocará (en hexadecimal) en una etiqueta. otra instancia obtendrá la clave de esa etiqueta y establecerá una VPN entre ellas. tal vez haya una forma de utilizar PKC para esto, aunque la ruta a / desde las etiquetas es enlace , que depende de AWS para las contraseñas de inicio de sesión.

edit2 :

Supongo que la sincronización para acceder a la API de EC2 puede ser otra fuente de entropía.

linux entropy cloud-computing

pregunta Skaperen 26.05.2015 - 12:01

fuente

1 respuesta

Lea otras preguntas en las etiquetas linux entropy cloud-computing

Permisos de administrador local para MMC DMZ y servidores de correo

score 2 · Accepted Answer

El problema potencial con las máquinas en la nube y la aleatoriedad es clonación de máquinas virtuales ; Consulte esto . Cualquier sistema Linux decente podrá producir aleatoriedad de alta calidad desde /dev/urandom en cualquier momento después del inicio, independientemente de si se encuentra en la nube o no. Sin embargo, si se clona una máquina virtual, las dos máquinas se iniciarán en el mismo estado interno, y no hay ningún mecanismo de seguridad que pueda incluirse en el sistema operativo para eso, porque, por definición, el sistema operativo invitado no tiene conocimiento de la clonación. .

Es técnicamente viable, para Amazon, impulsar una aleatoriedad nueva en cada instancia recién clonada (es suficiente actualizar el "archivo semilla" en el clon). No sé si lo hacen. Si no lo hacen (o si no puede encontrar alguna documentación escrita que diga que lo hacen), entonces es posible que tenga que volver a sembrar. Si bien simplemente esperar unos minutos de actividad de la red debería inyectar suficiente entropía, es más rápido y, sin duda, más seguro forzarlo. Si asume que está accediendo a la instancia de Amazon EC2 a través de SSH desde su computadora portátil / computadora de escritorio, y que su computadora portátil / computadora de escritorio también usa Linux, entonces se convierte en una simple cuestión de hacerlo una vez:

dd if=/dev/urandom bs=20 count=1 | ssh TheEC2MachineName 'cat > /dev/random'

y voilà! Se agregaron 20 bytes nuevos de aleatoriedad fuerte al grupo de entropía de VM. A continuación, puede continuar con todas sus cosas criptográficas en la máquina virtual de inmediato.