Торвальдс заодно с АНБ

убрать инструкцию RDRAND из /dev/random для повышения общей безопасности ядра

Плохой, негодный разработчик.

Но этот аппаратный ГСЧ подозревают в наличии скрытой предсказуемости, запрограммированной изначально.

А взять и проверить? Мало, чтоль, методов анализа случайных последовательностей?

Оно отключается? Да? Тогда из-за чего сыр-бор?

А вдруг ведь кто-то им там пользуется. Даже в самом АНБ. Можно подумать, раз АНБ, так им за линакс трогать нельзя.

http://nakedsecurity.sophos.com/2013/09/11/rudest-man-in-linuxdom-rants-about...

можно ссылку на коммит, о чём речь, а то самому влом копаться?

АНБ США контролирует даже тепловой шум в процессорах Ivy Bridge! Шок, сенсация!

http://www.xakep.ru/post/61246/

скажи мне что ты читаешь, и я скажу, по чём мои шапочки из фольги, а также специально для тебя я могу сделать патч, который выпиливает RDRAND из твоего ядра.

Генератор псевдослучайных чисел RDRAND, созданный компанией Intel, использует встроенный в процессор Ivy Bridge источник энтропии — тепловой шум процессора. По крайней мере, так заявляют разработчики из Intel. Но этот аппаратный ГСЧ подозревают в наличии скрытой предсказуемости, запрограммированной изначально.

если эта предсказуемость будет доказана, то акции intel упадут ниже плинтуса. И доказать её не сложно (если она конечно действительно есть, и её уровень достаточен для предсказания и взлома ключей).

Твой ксакпер как всегда постит тупой бред каких-то малолетних дебилов. Зачем это говно тащить на ЛОР? Это даже не смешно.

Линус живёт в США, ему против АНБ выступать было бы глупо.

Есть там закладка или нет - хз. Может наоборот это надёжный источник, а г-н Г-н ( не повезло мужику с фамилией ) получает деньги от АНБ.

если эта предсказуемость будет доказана, то акции intel упадут ниже плинтуса. И доказать её не сложно (если она конечно действительно есть, и её уровень достаточен для предсказания и взлома ключей).

а если эта предсказуемость не во всех процессорах, а в специальных ограниченных партиях, которые поставляются в определённые страны и конторы? :) В случае чего можно списать на дефект производства, отозвать, извиниться

Можно обойти. Начинать копить аппаратные рандомы со старта системы.

Линус Торвальдс известен резкими высказываниями. Очередными несчастными, кто попал под раздачу, стал Кайл Кондон (Kyle Condon), который организовал сбор подписей за то, чтобы убрать поддержку всех процессоров и периферийных устройств из ядра для повышения общей безопасности ядра.

Твой ксакпер как всегда постит тупой бред каких-то малолетних дебилов. Зачем это говно тащить на ЛОР? Это даже не смешно.

Википедия даёт ссылки на статью Брюса Шнайера от 2007 года и на сентябрьский пост Теодора Тс'о: https://en.wikipedia.org/wiki/RdRand

Акци упадут?.. Ну да, потому что процессоры Интел покупать после этого перестанут. Как перестали юзать Гугл, Фейсбук и прочих, кто был уличён в участии в PRISM.

Как перестали юзать Гугл, Фейсбук и прочих, кто был уличён в участии в PRISM.

Откуда дровишки?

Откуда дровишки?

Которые? Что они участвуют в PRISM?

Что их перестали использовать хотя бы полтора десятка анонимусов.

Что их перестали использовать хотя бы полтора десятка анонимусов.

Это сарказм был.

Можно обойти. Начинать копить аппаратные рандомы со старта системы.

так и делается, только этих «аппаратных рандомов» может быть недостаточное количество, особенно на виртуальных серверах и embedded-железках

Оригинальный пост на slashdot'е: http://linux.slashdot.org/story/13/09/10/1311247/linus-responds-to-rdrand-pet...

Не так уж и резко он высказался.

http://www.change.org/en-GB/petitions/linus-torvalds-remove-rdrand-from-dev-r...

Объясните на пальцах как можно использовать предсказуемость рандома?

за одно
ссылка на ксакеп

Уважаемые родители cipher, пожалуйста, отдайте его в школу, наконец.

Торвальдс за одно с АНБ

достойно желтой прессы. IRL Торвальдс против истерии и бездумного выпиливания кода (тем более стабильного).

если коротко: то становится чуть проще брутить пароли в генерации которых юзается псевдослучайная последовательность.

отдайте его в школу

Удел арчеюзеров. Мы, любители качественного проприетарного софта, получаем только качественное образование.

Ок, смотри:

акт 1, генерим ключи, поднимаем vpn, через него набегаем и ограбляем корованы. Пальцы анонимуса буквой V

акт 2. Но рандом на самом деле (tm) оказывается предсказуемой функцией от времени и ip адресов. Приходит АНБ. Пальцы большого брата - веером.

Заметно.

Википедия даёт ссылки на статью Брюса Шнайера от 2007 года и на сентябрьский пост Теодора Тс'о: https://en.wikipedia.org/wiki/RdRand

Relying solely on the hardware random number generator which is using an implementation sealed inside a chip which is impossible to audit is a BAD idea.

учимся читать. Выделение моё. Ну хорошо, давайте ни на что не рассчитывать? Или может у тебя есть маленький хрустальный шар, который даёт ДЕЙСТВИТЕЛЬНО СЛУЧАЙНЫЕ числа? Intel и не даёт такого шара. Intel просто дала возможность программистам получить некий случайный шум. Это лучше, чем ничего. Очевидно, что программист не может полагаться _только_ на него, ибо сам процессор ему не подвластен. Враг может его и подменить. Однако, это всё равно лучше, чем детерминированная последовательность (а процессор без этой инструкции только такие и выдаёт).

Акци упадут?.. Ну да, потому что процессоры Интел покупать после этого перестанут. Как перестали юзать Гугл, Фейсбук и прочих, кто был уличён в участии в PRISM.

я с лёгкостью могу отправить почту на *@gmail.com с *@gmail.com в зашифрованном виде. Тут несколько другая проблема, и ты зря мешаешь всё в одну кучу.

Ты тоже так сможешь со временем. Я в тебя верю.

Что их перестали использовать хотя бы полтора десятка анонимусов.

что мешает шифровать почту? Я вот её шифрую. Просто так. Just for fun. Что-бы эта ваша призма лосаснула тунца.

Будто что-то плохое.

Желтуха.

Объясните на пальцах как можно использовать предсказуемость рандома?

ну когда ты шифруешь сообщение своим няшным ключиком, то на самом деле, ты шифруешь НЕ ключиком. Последовательность такова:

1. создаём случайное число X

2. шифруем X'ом сообщение

3. передаём шифровку реципиенту

4. шифруем X -> Y публичным ключом реципиента

5. передаём реципиенту Y.

Фишка в том, что если враг узнает X, то он _может_ расшифровать сообщение, без всяких ключей. Только для этого надо научится предсказывать СЛУЧАЙНЫЕ числа.

Желтуха.

Бог предал своих последователей.

КСЖ.

если коротко: то становится чуть проще брутить пароли в генерации которых юзается псевдослучайная последовательность.

по твоему, Over9000 миллиардов лет чем-то лучше 100500 миллиардов лет?

Ну и да, а если без RDRAND, то что ты предложишь использовать? Свой член, подключённый по USB?

Удел арчеюзеров. Мы, любители качественного проприетарного софта, получаем только качественное образование.

оно заметно. Даже азов не выучили.

Даже если этот генератор не случайный, как один из дополнительных источников энтропии он вполне подходит.

Я не слишком хорошо разбираюсь в современной криптографии, но не вижу что мешает для ключей создавать аналоги радужных таблиц - заранее генерировать пары ключей, а при нахождении совпадений - радостно потирать руки. Причём сохранять для пользования не только совпавшие, а вообще все - как уже сказал, аналог радужных таблиц.

Задача идеально распараллеливается по любому числу узлов. Кстати, параноик во мне предлагает проверить, а чегой-то сейчас вычисляют все биткойн-майнеры.

Спасибо, я не хочу ТАК тупить.

Можешь тупить не так.

Есть у меня один знакомый яблочник, он тоже верит, что его любимая компания не сливает информацию, они ведь даже опровержение написали!

Ну и да, а если без RDRAND, то что ты предложишь использовать? Свой член, подключённый по USB?

Хотеть, запилите патчи пожалуйста. И да не обязательно usb можно сделать свой интерфейс с блекджеком и шлюшками для такого святого дела, а пенисридеры делать через компанию на кикстартере. А еще ко всему можно сделать авторизацию по частичке спермы, уверен оно у каждого уникальна.

Я не слишком хорошо разбираюсь в современной криптографии, но не вижу что мешает для ключей создавать аналоги радужных таблиц - заранее генерировать пары ключей, а при нахождении совпадений - радостно потирать руки. Причём сохранять для пользования не только совпавшие, а вообще все - как уже сказал, аналог радужных таблиц.

хотел тебя обложить грязным ругательством, но не буду. Попытаюсь объяснить:

Дело в том, что радужные таблицы чисто теоретически НИЧЕГО не дают. Это НЕ МАГИЯ.

Суть радужных таблиц очень проста: вместо того, что-бы подбирать пароль с нуля, ты подбираешь его ПРЕДВАРИТЕЛЬНО, с помощью хитрого матана создавая т.н. цепочки, и сохраняя головы этих цепочек на HDD(а лучше на SSD).

Если тебе ВНЕЗАПНО нужно подобрать пароль, ты ищешь нужную голову цепочки, а потом просчитываешь все комбинации из этой цепочки.

Вот к примеру, есть 1 000 000 паролей (ну скажем пароль это 6 цифр [0-9]). У тебя есть следующие варианты взлома:

1. перебирать ВСЕ пароли. Математическое ожидание успеха тут равно времени проверки одного пароля умноженное на 500 000. Недостаток тут — долго очень.

2. сохранить ВСЕ пароли. Очевидно, тебе понадобится HDD, в который влезет 1 000 000 паролей(и их хешей. Тогда для обращения хеша будет достаточно найти нужный хеш на этом диске. Для этого нужно всего 20 чтений, ибо 2^20==1048576, и разделяя диск пополам, за 20 делений ты найдёшь нужный хеш). Тут недостаток — диск большой нужен.

3. просчитать 1000 цепочек по 1000 паролей в каждой, и сохранить их на диск. Диск для 1000 цепочек найти можно без проблем. Просчитать 1000 паролей тоже можно быстро. Другое дело, что делать эту таблицу даже намного дольше, чем в п1. Но её не нужно делать СЕЙЧАС, можно сделать и предварительно (например для Windows они УЖЕ сделаны)

Это всё конечно хорошо, но вот IRL используют ключики в 2048 бит, и все выше перечисленные пунктики — полная уета. Даже для радужной таблицы потребуется ТАКОЙ HDD, в котором байтов больше, чем атомов во вселенной. Я уж не говорю про время, которое заведомо больше, чем время от сотворения мира (или от БВ, если ты атеист)

Есть у меня один знакомый яблочник, он тоже верит, что его любимая компания не сливает информацию, они ведь даже опровержение написали!

огрызки свой код почему-то скрывают, потому подтвердить или опровергнуть их сотрудничество с КровавойГБнёй невозможно. А вот http://www.gnupg.org/ свой код не скрывают. Если ты программист — иди и смотри. Если не программист, найми программиста, и пусть он посмотрит. Это не вопрос веры, это технический вопрос.

А ты криптографа уже нанял? Ты уверен, что в дебрях алгоритмов нет закладок? А человеку, который потом расшифрует твоё письмо, ты доверяешь?

Даже для радужной таблицы потребуется ТАКОЙ HDD, в котором байтов больше, чем атомов во вселенной

Вот об этом не подумал. Да, не поспоришь :)

update. хотя... там же не любые числа допустимы. Может быть число вариантов на много порядков меньше

А взять и проверить? Мало, чтоль, методов анализа случайных последовательностей?

Может закладка включается когда надо и не работает постоянно чтобы не вызывать подозрения.

Хотеть, запилите патчи пожалуйста. И да не обязательно usb можно сделать свой интерфейс с блекджеком и шлюшками для такого святого дела, а пенисридеры делать через компанию на кикстартере. А еще ко всему можно сделать авторизацию по частичке спермы, уверен оно у каждого уникальна.

ну давай для начала просто температуру будем мерить в течении 15и минут, вот этим девайсом за 790 рублей? Ага, каждые 10 секунд с максимальной точностью. ИМХО вполне достаточно для сбора энтропии. Ну и если нет члена, то можно использовать вагинально или ректально.

А ты криптографа уже нанял? Ты уверен, что в дебрях алгоритмов нет закладок?

такой код специально пишут «для дебилов», т.е. без всяких выкрутас и неявных вы*бонов. Там всё довольно просто, если надо посчитать a+b, то пишут a+b.

А человеку, который потом расшифрует твоё письмо, ты доверяешь?

твои слова лишены смысла: моя цель в том, что-бы моё письмо прочитал ТОЛЬКО адресат. Свою цель я достигаю, а далее уже вопрос другой. Естественно, адресат может распечатать моё сообщение на бумажке, и прилепить эту бумажку себе на лоб. И так и ходить. Криптография бессильно против идиотов.