Cumplimiento de números aleatorios de Linux

Navega tus respuestas
6

No estoy seguro de si este es el foro correcto, y estoy bastante seguro de que se debe haber respondido antes (busqué mucho pero no he encontrado una respuesta definitiva).

¿Los generadores de números aleatorios de Linux ( /dev/random y /dev/urandom ) cumplen con los estándares de la industria? Más específicamente, si mi aplicación utiliza /dev/random , ¿puedo cumplir con las regulaciones que requieren que el generador de números aleatorios empleados cumpla con algún estándar?

Por ejemplo, si mi aplicación utiliza /dev/random , ¿puedo afirmar que los números aleatorios son compatibles con NIST SP 800-90A DRGB?

Le pido disculpas si esto no es relevante o es obvio, pero como dije, no pude encontrar una respuesta definitiva en ninguna parte.

(Me dirigieron aquí desde enlace )

    
pregunta arnuschky 17.04.2015 - 12:59
fuente

2 respuestas

3

Si echamos un vistazo a la página man para random obtenemos lo siguiente:

  

El generador de números aleatorios recoge el ruido ambiental del dispositivo   Conductores y otras fuentes en una piscina de entropía. El generador tambien   mantiene una estimación de la cantidad de bits de ruido en el conjunto de entropía.   A partir de este grupo de entropía se crean números aleatorios.

En la parte inferior vemos: 

SEE ALSO         

       getrandom(2), mknod(1)
       RFC 1750, "Randomness Recommendations for Security"

RFC1750 es solo una recomendación para las generaciones de números aleatorios criptográficamente seguras (CSRNG). / dev / random se considera criptográficamente seguro, pero no sigue el estándar NIST SP 800-90A. Ni ninguna otra norma por lo que pueda decir.

    
respondido por el RoraΖ 17.04.2015 - 15:18
fuente
4

dev / random ni siquiera es remotamente lo mismo que NIST SP 800-90A DRGB. Si desea reclamar el cumplimiento del DRGB NIST SP 800-90A, contrate un laboratorio de pruebas para probar su DRBG y envíe los resultados al Programa de validación del algoritmo criptográfico del NIST ( enlace ) y luego terminará en esta lista: enlace

    
respondido por el Mr. Stone 17.04.2015 - 18:53
fuente

Lea otras preguntas en las etiquetas

Política de contraseñas: emita contraseñas generadas aleatoriamente / deje que el usuario elija una contraseña ¿Qué riesgos de seguridad están asociados con proveedores de DNS alternativos?