ל99.9% מהשימושים במספרים אקראיים אין שום סיבה להשתמש ב/dev/random ועדיף להשתמש ב/dev/urandom יש מספר קטן של שימושים שבהם אנו באמת צריכים מספרים אקראיים בטוחים קריפטוגרפית. הפתרון שלו בעצם הופך את /dev/random לשקול ל/dev/urandom ואולי אף גרוע מזה מה שמנטרל את היכולת לקבל מספרים אקראיים בטוחים גם כשזה חשוב. המצב הרצוי הוא שכל השימושים יקראו מurandom למעט שימושים מוגדרים היטב שיודעים שהם זקוקים לאבטחה ואלה ישתמש בrandom. הטענה שלא ניתן לתקוף את החולשה היא בעייתית. ומאוד תלויה במבנה ההתקפה, למשל אם יש לי אפליקציה זדונית שיכולה לבקש מספרים אקראיים, נראה לי מאוד ישים לחזות את המספר האקראי שתקבל אפליקציה אחרת ניצול החולשה מבחוץ ממש זה יותר מסובך, אבל בהחלט יתכן שאפשר גם בתקשורת מבחוץ בעקיפין לבקש הקצאה של הרבה מספרים אקראיים.
2013/1/3 Ira Abramov <[email protected]> > חבר שלח לי היום את הלינק הזה בשאלה אם כדאי לו להמר על התקנה של זה: > > http://forum.xda-developers.com/showthread.php?t=1987032&page=1 > > בסה"כ מדובר בפתרון מעניין לאיטיות של פעולות רבות באנדרואיד, נראה שלא מעט > מהן (לפי הניתוח של הכותב), נתקעות בבלוק על התקן המספרים האקראיים. זו כמובן > בעיה לא קלה ועד היום אני לא מבין למה לא מייצרים כבר מעבדים עם RNG מובנה > בחומרה, אבל הפתרון שהוא מצא, אם למשתמשים לא אכפת להחליש בפוטנציה את חוזק > האקראיות של מערכת ההפעלה, הוא מעניין, גם אם מוזר לי מעט. > > 1. אנשי קריפטו ומתמטיקה ברשימה - מה דעתכם על הפתרון שהוא מציע? > > 2. אנשי קרנל, כנ"ל. > > 3. אני ממש לא תוכניתן ג'אווה בימים אלו (או אנדרואיד), אבל אני מוכן לשים > קצת כסף לbounty למי שיוכל לקחת כפרויקט לחקור את הענין (לוודא שזו באמת > הבעיה) ולמצוא לו פתרון יצירתי ואמין בתכנה ברשיון חופשי. > > _______________________________________________ > Discussions mailing list > [email protected] > http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions >
_______________________________________________ Discussions mailing list [email protected] http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
