Turvalisuse loomine juhuslikkuse kaudu

Turvalisuse loomine juhuslikkuse kaudu

Ajatempel: 8. märts 2024 11:00
Allikasõlm: 2510751

Kui astute Cloudflare'i San Francisco kontorisse, märkate esimese asjana laavalampide seina. Külastajad peatuvad sageli selfie'de tegemiseks, kuid omapärane installatsioon on midagi enamat kui kunstiline avaldus; see on geniaalne turvatööriist.

Lampide hõljuvate vahalaikude loodud muutuvad mustrid aitavad Cloudflare'il Interneti-liiklust krüptida. Idee koorus välja 2013. aasta nädalavahetusel, kui ettevõtte tegevjuht Matthew Prince ja CTO John Graham-Cumming arutasid võimalusi juhuslike numbrite genereerimiseks. Juhuslikel numbritel on küberturvalisuses mitmesuguseid kasutusviise ja neil on muu hulgas otsustav roll paroolide ja krüptograafiliste võtmete loomisel. Kuna arvutid ei ole eriti head juhuslikkuse tekitamisel, otsustasid Prince ja Graham-Cumming proovida seda kasutada füüsilise protsessi kaudu.

"Matthew ütles: "Miks me ei võiks oma kontorisse panna hunniku laavalampe ja kasutada neid juhuslike arvude generaatorina?"" mäletab Graham-Cumming. "Ja ma ütlesin:" Oh, see on suurepärane idee! Teeme lihtsalt ära!”

Nende projekt ammutas inspiratsiooni Lavarandilt, a patenteeritud juhuslike arvude generaator aastal 1996, mis kasutas laavalampi, millele oli suunatud kaamera. Objektist kaameraga tehtud fotod muutsid kõik liikuvad plekid ainulaadseks. Seejärel muudeti pildid juhuslikeks numbriteks.

Laavalambid on hea füüsilise entroopia allikas, kuna vahalaikude liikumine järgib vedeliku mehaanikat reguleerivaid keerulisi seadusi. Vaha soojendab lambi põhjas olev lambipirn. Kuumemaks kasvades muutub see vähem tihedaks ja tõuseb aeglaselt tippu. Kui plekk jõuab haripunkti, siis see jahtub ja muutub tihedamaks, langedes tagasi põhja, kus see uuesti kuumeneb ja kordab protsessi.

Cloudflare'i oma Entroopia sein, nagu teada, kasutab mitte ühte, vaid 100 lampi, mille juhuslikkust suurendas inimese liikumine.

"Igaüks, kes teeb selfie, suurendab juhuslikkust," ütleb Graham-Cumming. "Kui keegi kõnnib laavalampide ees, on liikumine juhuslikum."

Teine juhuslikkuse allikas tuleneb muutuvatest valgustingimustest ja pildianduritest kaamera sees, mis tekitavad müra; isegi kui kaks fotot tunduvad olevat sarnased, muudab kaamera üksikmüra need märkamatult erinevaks.

Cloudflare kasutab oma serverites juhuslikkuse loomiseks ka täiendavaid füüsilise entroopia allikaid.

„Londonis on meil see uskumatu topeltpendlitest sein ja Texase osariigis Austinis ripuvad need uskumatud mobiilid laes ja liiguvad koos õhuvooludega,” räägib Graham-Cumming. Cloudflare'i kontoris Lissabonis on peagi "ookeanil põhinev" installatsioon.

pendulums-entropy-cloudflare.jpgPendlid Londonis. Allikas: Cloudflare

Sellistel juhtudel räsitakse Austini kontoris kasutatavad laavalampide, pendlite ja „rippunud vikerkaarte” kujutised ja need on sisendiks võtmetuletusfunktsioonile (KDF), mida kasutatakse nn juhuslikkuse seemne genereerimiseks. väärtus, mis on tõeliselt juhuslik ja mida saab kasutada krüptograafiliselt turvalise pseudojuhusliku arvu generaatori (CSPRNG) loodud väärtusahela lähtepunktina.

Cloudflare'i nutikat entroopiabasseini kasutatakse mitte a usalduse puudumine Linuxi vaikimisi juhuslike numbrite generaatori vastu vaid ettevaatusabinõuna, toimides täiendava turvakihina.

"Kõigil meie masinatel on juhuslike numbrite generaatorid ja need genereerivad mingil viisil juhuslikke numbreid, mida saame krüptograafia jaoks kasutada, " ütleb Graham-Cumming. "Mida me teeme, tahame seda protsessi alustada mingil viisil, mis iseenesest pole etteaimatav."

Entroopia füüsilised allikad

Sellised algatused nagu entroopia müür (mis saavutas omal ajal popkultuuri kurikuulsuse esines politsei protseduuriliste teleseriaalide episoodis NCIS) on nutikas viis reaalse maailma juhuslikkuse kasutamiseks arvutiturbe tagamiseks. Kuid idee tugineda füüsilisele entroopia allikatele ei ole ainulaadne. Möödunud sajandil on insenerid ja arvutiteadlased uurinud erinevaid viise loodusnähtuste kasutamiseks juhuslikkuse tekitamiseks.

Üks esimesi masinaid, mis looduse juhuslikkust ära kasutas, oli ERNIE ehk elektrooniline juhusliku arvu indikaatorseade. See juhuslikke numbreid genereeriv riistvara ehitati 1956. aastal, et otsustada Ühendkuningriigi valitsuse välja antud võlakirjade loterii võitjad. ERNIE tekitas juhuslikkuse, kasutades neoon-külmkatoodtorude seeriat tekitatud müra.

Siin on video sellest, kuidas ERNIE töötas.

Teised projektid võimendavad atmosfäärimüra, mis on enamasti põhjustatud äikesetormide äikeselahendustest. Näiteks Random.org salvestab atmosfäärimüra raadiostaatilisena. Random.org lõi 1997. aastal arvutiteadlane Mads Haahr ja tema sõbrad, kes soovisid luua loodava võrguhasartmängude veebisaidi jaoks tõelist juhuslikkust. Nad tegid seda 10-dollarise RadioShacki raadio abil, millel polnud mürafiltrit. Saadud raadiostaatika on ise entroopia vorm. Haahri sõnul on kontsernil nüüd erinevates riikides mitu raadiovastuvõtjat, mis on häälestatud jaamade vahel.

Juhuslikkus võib pärineda ka üllatavatest kohtadest ja inimestest, näiteks projektist, mis hõlmab täringute veeretamist Mira Modi 11-aastaselt. Modi kasutas paroolide genereerimiseks tuntud meetodit Diceware, mille töötas välja Arnold G. Reinhold. Modi veeres täringut viis korda ja kirjutas üles iga numbri, näiteks 45621. Seejärel sobitas ta selle viiekohalise numbri Diceware sõnastikust leitud vastava sõnaga, antud juhul "piksel". Ta kordas seda protsessi kuus korda, et luua kuuest sõnast koosnev parool, mille tulemuseks oli midagi sellist nagu "pikslialbum golfihullu ajamisel". Seejärel kirjutas Modi selle parooli paberile ja saadab selle USA postiteenuse kaudu oma kliendile.

Uued juhuslikkuse allikad

Füüsiliste juhuslike arvude genereerimine võib põhineda mis tahes kaootilisel protsessil looduses, sealhulgas radioaktiivne lagunemine, kaos laserkiirgusesvõi pulsarid. Need algatused on kõik põnevad ja geniaalsed, kuid valdkonna hiljutised arengud lükkavad nõela veelgi kaugemale.

Üks selline näide on League of Entropy, kollektiivne projekt, mis tugineb Cloudflare'i laavalampidele koos muude entroopiaallikatega.

Ühel päeval 2018. aastal kogunes rühm teadlasi, akadeemikuid ja insenere väikesesse ruumi, et osaleda Nicolas Gailly kõnel teemal. vedama, hajutatud juhuslikkuse majakadeemon, mis on kirjutatud Golangi keeles.

"Istusime kõik selles ruumis ja meile tutvustati seda suurepärast süsteemi, et muuta hulk vastastikku ebausaldusväärseid osapooli võrgustikuks, mis on võimeline toimima usaldusväärse avaliku juhuslikkuse allikana kontrollitaval viisil," ütleb Randamu peakrüptograaf Yolan Romailler. ja drandi hooldaja. "Siis ei olnud seal häid avalikke ja kontrollitavaid juhuslikkuse projekte."

Pärast ettekannet läksid mõned rühmaliikmed ühte ülikooli sööklasse lõunatama.

"Nick Sullivan, kes töötas tollal Cloudflare'is, oli sellest ideest väga innustanud: võiksime käivitada esimese avaliku teenuse, mis pakub kõigile tasuta kasutamiseks sobivat avalikku kontrollitavat juhuslikkust ja see ei nõuaks liiga palju ressursse," Romailler ütleb. "Me kõik nõustusime, et Internet vajab tõesti avalikku juhuslikkuse teenust, nagu sellel on tasuta NTP-serverid, et pakkuda kõigile täpset ajateavet. Ja just nii alustas Nick liikumist, mis viis selleni Entroopia liiga käivitamine 2019is. "

Algselt oli detsentraliseeritud teenusel kaheksa sõltumatut ülemaailmselt hajutatud majakat – „ülikoolide, tööstuspartnerite ja muude organisatsioonide konsortsium, mis tegid koostööd, et pakkuda igaühele juhuslikkust,” ütleb Romailler.

rainbows-mobile-cloudflare.jpg

Sädelevad vikerkaared Austinis. Allikas: Cloudflare

Igal organisatsioonil olid oma entroopiaallikad. Cloudflare tuli välja oma laavalampide projektiga, kuid teised töötasid välja sama loomingulised lahendused. The Tšiili ülikoolNäiteks lisas segule seismilised mõõtmised, samas kui Šveitsi föderaalne tehnoloogiainstituut kasutas igas arvutis /dev/urandom olevat kohalikku juhuslikkuse generaatorit, mis tähendab, et see tugines sellistele asjadele nagu klaviatuurivajutused, hiireklõpsud ja võrguliiklus. tekitavad juhuslikkust. Kudelski Security, firma Romailler tol ajal töötas, kasutas ChaCha20 voošifril põhinevat krüptograafilist juhuslike arvude generaatorit (CRNG).

See projekt on sellest ajast alates kasvanud ja tänaseks on sellega seotud umbes 20 organisatsiooni. "Kõik nad töötavad heast tahtest tasuta, olles veendunud, et Internet vajab avaliku hüvena avalikku juhuslikkust," ütleb Romailler.

Liiga haldab kahte põhivõrguvõrku, milles on ligikaudu 23 sõlme, mis on jagatud üle maailma ja kõik teevad koostööd. Romailler lisab, et projekt on väga turvaline – selleks oleks vaja 12 pahatahtlikku sõlme, et see tahtmatult seiskuks või talitlushäireid tekiks.

"Huvitav on see, et sidumispõhine krüptograafia, millele me toetume, garanteerib meile, et pahatahtlike osapoolte lävi ei suuda ikkagi tulevasi tulemusi kallutada, vaid neid ennustada," ütleb ta. "Me ei saa tegelikult rääkida liiga entroopiast, kuid võime öelda, et see pakub 128 bitti turvalisust, mis tähendab, et selleks kuluks ligikaudu 2128 arvutustoimingud selle katkestamiseks."

Iga aastaga muutub projekt suuremaks ja paremaks. 2023. aastal lisas Liiga ajaluku krüptimine, teine ​​tasuta kasutatav tööriist, mis võimaldab kasutajatel krüpteerida sõnumi, mida saab tulevikus lugeda ainult kindlal ajal.

Praegu teenindab League of Entropy rohkem kui 1.5 miljardit päringut kuus ja toetab laia valikut projekte, mille juhuslikkus sõltub drandist. Romailleri sõnul kasutavad teenust Filecoin, mitmed Web3 mängud ja a valitsusväline organisatsioon (VVO) Sierra Leones mis peab valima universaalse põhisissetuleku saajad.

Just sellised asjad panevad Romailleri ja tema eakaaslased tundma, et nende töö on oluline ja et projekt peaks edasi arenema, kaasates võib-olla omapärasemaid entroopiaallikaid, näiteks Cloudfare'i laavalampe.

"Usume, et Liiga peaks ideaaljuhul koosnema 50–100 organisatsioonist, mis on hästi tuntud ja millel on hea maine Interneti tuleviku parandamisel," ütleb ta. "Selline skaala võimaldaks meil saavutada hea tasakaal liiga esituse ja usaldusväärsuse vahel."

Ajatempel:

Veel alates Tume lugemine