Generando un secreto en una computadora comprometida

1

Supongamos que estamos en una computadora comprometida (por ejemplo, infestados con troyanos al registrar pulsaciones de teclas o tomar capturas de pantalla) y, por algún motivo, tenemos que generar un número que se supone que es secreto con el propósito de usar en un script.

Usando ruby, cuando hago algo como Random.new.rand , el generador de números aleatorios se siembra con la hora actual, la ID del proceso y un número de secuencia. Teniendo en cuenta las características de este tipo de malware, ¿puede pensar en mejores fuentes de entropía que podamos introducir en la semilla que es más difícil de capturar?

    
pregunta lunr 01.02.2018 - 00:54
fuente

1 respuesta

6

Si la máquina está comprometida, no hay nada que pueda introducir para hacer que sea más difícil de capturar: son los propietarios de la caja, la memoria y el sistema operativo.

Por lo poco que entiendo de Ruby, la elección de Random es errónea para cualquier cosa que se asegure, ya que es solo un generador de números pseudoaleatorios y en su lugar debería estar usando SecureRandom.

Con SecureRandom no tendrá que intentar buscar otras fuentes de entropía.

    
respondido por el McMatty 01.02.2018 - 01:22
fuente

Lea otras preguntas en las etiquetas